Wil je meer flexibiliteit, minder IT beheer of je innovatiekracht vergroten? Dan is de stap naar de cloud een logische keuze. Maar hoe start je? Hoe regel je het beheer en de beveiliging van een cloud omgeving? En hoe houd je grip op de kosten?
Op 20 mei gingen we tijdens een webinar in op hoe je volgens de Microsoft richtlijnen een basisomgeving in Azure neerzet. Een veilige en schaalbare omgeving waarmee je standaarden afdwingt over hoe applicaties en data in de cloudomgeving gebruikt worden.
11. Azure Landing Zone
H T T P S : / / W W W . D E L T A - N . N L / O P L O S S I N G E N / A Z U R E - L A N D I N G - Z O N E /
Een basisinrichting in Azure die een veilige en
duurzame omgeving biedt voor je toepassingen.
Een Azure-omgeving waarbij rekening gehouden is met
schaal, governance, compliance, connectiviteit en security.
Azure landingszones maken migratie, modernisering
en innovatie van toepassingen mogelijk in Azure.
16. Azure Active Directory:
Identity provider
Gekoppeld aan Azure subscriptions
Single Sign-On, Multi-Factor Authentication
Role Based Access Control (RBAC)
Toewijzen van rechten in Azure
Identiteitsbeheer
27. Policy definities en initiatives
Heel veel built-in policy definities, maar ook mogelijkheid om eigen
custom policies aan te maken (eventueel gebaseerd op bestaande)
Policy Initiatives is een bundeling van meerdere definities
29. Deny
Audit
Append
Modify
DeployIfNotExists
Policy acties
Dus niet alleen deny of audit, maar kan ook property configuraties
correct zetten of zelfs gerelateerde resources toevoegen.
Denk aan: Configuratie voor de logging van allerlei netwerk resources
naar centrale workspace versturen.
30. Afspraken over naamgeving
Tagging (meta data)
Security standaarden
Eigen standaarden
Microsoft Defender for Cloud
(Azure Security Center)
Industriestandaarden (ISO)
Compliance
Defender maakt gebruik van Azure Policy.
32. Cost Analysis
Budgets
Cost Alerts
Gebruik tags zoals costcenter
Besparingen middels:
Resources uitzetten/verwijderen
Resources kleiner schalen
Reserveringen
Cost Management
33. Encryption at REST
Encryption in transit
Key Vaults
Security
Threat Detection
Data Security
Web Application Firewall
SQL Threat protection
Azure Active Directory Identity Protection
IDS/IPS (Azure) Firewall
MS Defender for Cloud: workload protection plans
37. Maak gebruik van diverse
services om het werk te
automatiseren
Zorgt voor:
Werk uit handen
Eenduidigheid
Compliance
Automation
Azure
Automation
Azure
Policy
Azure
Logic Apps
Azure
DevOps
38. Verandering in IT
• Centrale IT zorgt voor
begeleiding en governance
• Applicatie teams beheren hun
eigen apps met cloud native en
development tools
• provisioning middels DevOps
modellen
• IT heeft centrale controle
• Centraal beheer en processen om
applicaties en infrastructuur te
beheren
• VM, Storage, Networking…
resources hebben veel tijd nodig
om uit te rollen
Servers Services
39. Infrastructure as Code
D E V O P S B E N A D E R I N G
DevOps approach to infrastructure deployment
Infrastructure-as-code == declarative, repeatable, consistent
41. Webinar Azure Virtual Desktop
3 juni | Webinar Azure Virtual Desktop | Delta-N
Microsoft 365 Journaal
Ieder kwartaal | www.delta-n.nl/microsoft-365-journaal/
17 juni, 16 September en 9 december
Webinar Nieuw in Azure DevOps
Ieder kwartaal | www.delta-n.nl/evenement/webinar-nieuw-in-azure-devops/
1 juli en 7 oktober
Scan de QR-code voor de evenementenagenda
Evenementen agenda
W W W . D E L T A - N . N L / E V E N E M E N T E N
42. Direct terug te kijken webinars
Webinar ‘Digitaal samenwerken’ on demand
https://www.delta-n.nl/nieuws/webinar-digitaal-samenwerken-terugkijken/
Webinar ‘Grip houden op je gebruikers en apparaten’ on demand
https://www.delta-n.nl/nieuws/terugkijken-webinar-identiteits-en-apparatenbeheer/
Webinar ‘Succesvol IT-veranderingen doorvoeren’ on demand
https://www.delta-n.nl/nieuws/terugkijken-webinar-succesvol-it-verandering-doorvoeren/
Webinar ‘Bescherm je Microsoft 365 data’ on demand
https://www.delta-n.nl/nieuws/bescherm-uw-microsoft-365-data-met-security-webinar/
Webinar ‘Bellen met externen via Microsoft Teams’ on demand
https://www.delta-n.nl/nieuws/bellen-met-microsoft-teams/
Webinar ‘Eenvoudig processen automatiseren met Power Apps’ on demand
https://www.delta-n.nl/nieuws/eenvoudig-processen-automatiseren-met-microsoft-powerapps/
Webinar ‘Stapsgewijs naar een Moderne Werkplek’ on demand
https://www.delta-n.nl/nieuws/stapsgewijs-naar-een-moderne-werkplek/
43. “Delta-N heeft in nauwe samenwerking met onze architecten
een Azure Landing Zone architectuur ontworpen. Doel en
uitdaging waren om de Azure Cloud veilig te integreren in
onze bestaande omgeving. Door gezamenlijk op te trekken
hebben wij intern kennis opgebouwd en kennen we nu
de (on)mogelijkheden voor de vervolgstappen.“
Roel van Teeseling,
Projectmanager data CIBG
“Met het onze applicaties op Azure zijn we klaar voor de
toekomst. De Azure Landing zone biedt ons flexibiliteit
en veiligheid. We kunnen nu eenvoudig capaciteit bij-
schalen, al dan niet tijdelijk. En we kunnen veel sneller
nieuwe ontwikkelingen doorvoeren.”
Pieter Kersten,
Hoofd Bedrijfsvoering AkzoNobel
“Dankzij de Azure Landing Zone die Delta-N heeft neergezet
was de stap naar Azure geen lang traject, maar stond er snel
een basisinrichting volgens de Microsoft richtlijnen. Hierdoor
konden we direct profiteren van voordelen als flexibiliteit en
schaalbaarheid en hebben we een goede basis voor de
toekomst.”
René Mulders,
Productmanager BRIS
“Delta-N heeft onze Azure Landing Zone ontwikkeld en
in nauwe afstemming met ons gerealiseerd. De omgeving
moest schaalbaar, toekomstvast en vooral veilig zijn. Wij
werken met patiëntendata en goedkeuring van onze
security officer op de oplossing was daarom noodzakelijk
om in productie te kunnen gaan.”
Margit Laurs,
Chief Plans LCPS
Enkele klanten
44. Meer weten?
C L O U D S O L U T I O N S
Heb je concrete vragen over Azure Landing Zones of andere Cloud oplossingen
van Microsoft? Of heb je ondersteuning nodig bij de implementatie of adoptie
van deze oplossingen? Neem gerust contact met mij op.
Heiko Wijtenburg
085 – 487 52 21
heikow@delta-n.nl
https://www.delta-n.nl/oplossingen/azure-landing-zone/
Welkom bij het Webinar “Starten met Azure” waar we ingaan op de diverse zaken die spelen als je gebruik wilt gaan maken van Azure, maar ook als je al wat oplossingen in Azure hebt draaien, maar dit verder wilt uitbreiden en meer grip op de omgeving wilt hebben.
De agenda die we in hoofdlijnen hebben is de volgende:
Azure is het Cloud Platform van Microsoft om diverse oplossingen voor je organisatie te hosten. Dit kunnen bijvoorbeeld online web applicaties zijn, maar ook interne bedrijfsapplicaties, dataopslag, data analytics, virtual desktop infrastructuur, enz. Het biedt hiervoor een ruime selectie van producten en cloudservices om nieuwe oplossingen te creeeren, of bestaande naar toe te migreren.
Een Cloud platform kenmerkt zich door de grote schaal waarmee het opgezet is waardoor innovatieve services op een eenvoudige manier af te nemen zijn zonder zelf hiervoor een enorme investering voor te maken. Daarnaast geeft het self-service aspect je de controle over je eigen inrichting in de Cloud. Aangezien de Azure Cloud een pay-per-use model hanteert, is het verstandig om hier ook goed op in te spelen.
Omdat er zoveel te doen is in Azure en je met meerdere personen/teams hiermee aan de slag kunt, is het verstandig om over een aantal zaken goed na te denken om zo doende grip te houden op de gehele omgeving, niet alleen op beveiliging e.d., maar ook op kosten.
Starten met Azure is als in een nieuw huis gaan wonen.
Voordat je op een bank kan gaan zitten en TV kijken of lekker kan gaan koken in je nieuwe keuken zal eerst dit huis ontworpen, gebouwd en ingericht moeten worden.
Een huis heeft als eerste een goede fundering nodig voordat er muren en een dak op geplaatst kunnen worden.
Ook heb je ramen en een voordeur nodig met een slot.
Met deze basis kun je in ieder geval droog en beschut verblijven, ergens een bank neer zetten en neerploffen..
Wil je er serieus verblijven met een heel gezin, dan ga je denken aan een extra verdieping, isolatie, dubbel glas. verwarming, keuken met koelkast, vloerbedekking, kasten, etc. Wellicht heb je nog jonge kinderen en zorg je voor kindersluitingen op kastjes waar ze niet in mogen. Een beveiligingsinstallatie met camera’s geeft je ook nog wat gemoedsrust en een mooie tuin met een schutting eromheen is ook wel erg fijn voor de mooie dagen in het jaar.
Als je gaat starten met Azure of als je reeds het een en ander in Azure hebt draaien, maar dit serieus verder wilt uitbreiden, is het net zo. Deze wil je ook voorzien van een basisinrichting voordat je workloads (applicatieomgevingen) hierin aanbrengt of naar toe migreert. Afhankelijk van de grootte van je eigen IT organisatie, het aantal en type workloads (online en/of interne bedrijfsapplicaties), kun je het zo eenvoudig of uitgebreid maken wat hierbij past. Ook de gevoeligheid van de data die je in Azure wilt gebruiken, bepaalt of je hier extra aandacht aan moet schenken.
Deze basisinrichting om workloads veilig te laten landen noemen we een “Azure Landing Zone”. Dit kun je op een enterprise schaal opzetten, maar ook klein beginnen en steeds verder uitbreiden.
@@@ Alrik: Visueel aantrekkelijker maken (iets meer wit)
Met een Azure Landing Zone bieden wij klanten een basisinrichting in Azure waarmee ze een veilige en duurzame omgeving hebben voor hun workloads.
(definitie)@@@ Heiko
De inrichting van een Azure-omgeving die rekening houdt met schaal, beveiligingsgovernance, netwerken en identiteit. Azure landingszones maken migratie, modernisering en innovatie van toepassingen mogelijk in Azure.
Azure-landingszones zijn de uitvoer van een Azure-omgeving met meerdere abonnementsabonnementen die rekening houden met schaal, beveiligingsgovernance, netwerken en identiteit. Azure-landingszones maken migratie, modernisering en innovatie van toepassingen mogelijk op ondernemingsschaal in Azure. Deze zones nemen alle platformbronnen in beschouwing die nodig zijn voor de ondersteuning van de toepassingsportefeuille van de klant en onderscheiden zich niet van de infrastructuur als een dienst of platform als een dienst.
Maar laten we eerst beginnen bij de basis
De basis wordt gevormd door 2 hoofd onderdelen:
Netwerk
Identiteitsbeheer
Bij het netwerk gaat het om zaken zoals:
connectiviteit met het Internet en eventueel On-Premise locaties.
Routering
Firewalls
DMZ
Applicatie gateways
Een veel gebruikt netwerkmodel is het Hub Spoke model.
Hierbij staat het Hub network centraal
Met hieraan gekoppeld:
1. de spoke netwerken waarin de benodigde workloads aan gekoppeld zijn.
Het hub network zorgt centraal voor de koppeling met:
2. internet en eventueel
3. een On-Premise network middels een gateway
4. Een applicatie gateway in de Hub zorgt voor het veilig publiceren van web applicaties
5. En een firewall kan het verkeer tussen spokes en naar het internet centraal controleren
6. Heb je een uitbreiding nodig,
7. dan zet je er een extra spoke bij
Een veel gebruikt netwerkmodel is het Hub Spoke model.
Hierbij staat het Hub network centraal
Met hieraan gekoppeld:
1. de spoke netwerken waarin de benodigde workloads aan gekoppeld zijn.
Het hub network zorgt centraal voor de koppeling met:
2. internet en eventueel
3. een On-Premise network middels een gateway
4. Een applicatie gateway in de Hub zorgt voor het veilig publiceren van web applicaties
5. En een firewall kan het verkeer tussen spokes en naar het internet centraal controleren
6. Heb je een uitbreiding nodig,
7. dan zet je er een extra spoke bij
Als we praten over identiteitsbeheer, dan hebben we het over Azure Active Directory als identity provider met o.a. users en groups. Single Sign-On voor beheerders en Role Based Access Control om de permissies te regelen in Azure.
Voordat we verder ingaan op het toekennen van rechten, eerst even wat uitleg over de hierarchische opbouw in Azure.
1 - Services worden afgenomen door resources aan te maken
2 – Deze resources worden gegroepeerd in resource groups.
3 – resources en resource groups maak je aan binnen een subscriptie
4 – Subscripties kun je logisch groeperen onder management groups
Van boven naar beneden vindt overerving plaats
En er is een 1 op N relatie (dus een subscriptie kan onder 1 mgmt group vallen en een resource in 1 RG)
Role Based Access Control (RBAC) is onderdeel van Identity Access Management en Hiermee deel je de benodigde permissies uit aan de identiteiten. We hebben hier te maken met 3 objecten:
Security Principals (identiteiten) zoals users, groups
Role definities (permissies per rol gedefinieerd)
De scope waarop dit van toepassing is
In Azure heb je een hierarchisch model om resources te organiseren:
Management groups zijn placeholders om subscripties te bundelen en permissies en andere zaken gezamelijk te configureren
Binnen subscripties heb je resource groups om resources te groeperen
Van boven naar beneden vindt overerving plaats en gaat het om een 1 op n relatie, dus een subscriptie kan maar aan 1 management group gekoppeld worden, maar een management group kan wel meerdere subscriptie gekoppeld hebben
De toewijzing van rechten wordt gedaan middels een
role assignment
Als security principal hebben we hier de AD group “Marketing”
Die geven we de role “contributor”
En plaatsen deze op de scope van de resource group “pharma-sales”
De toewijzing van rechten wordt gedaan middels een
role assignment
Als security principal hebben we hier de AD group “Marketing”
We nemen hierbij de role definitie “contributor”
En plaatsen deze op de scope van de resource group “pharma-sales”
We hebben nu in de basis een woning waarin we prima kunnen vertoefen met een partner. Maar we denken aan gezinsuitbreiding, meer opslag, thuiswerk plek, betere beveiliging……….
Dus we willen hiernaartoe..
Als we te maken krijgen met meer kritische applicaties, gevoeligere data en een grotere omgeving met meer resources, maar ook meer beheerders, ontwikkelaars, oftewel meer mensen die ook in Azure wat moeten doen. Dan kijken we naar de volgende zaken:
Beleid/Governance
Beveiliging
Beheer
Dit zijn de 3 hoofd onderwerpen waar we verder naar moeten kijken.
Op een traditionele manier wordt hetgeen ontwikkelaars en beheerders opleveren om in de cloud te plaatsen eerst beoordeeld voordat het aangebracht kan worden. Dit werkt erg vertragend en kan beter.
Door gebruik te maken van Azure policy wordt op een automatische manier de omgeving compliant gemaakt en gehouden naar aanleiding van de regels die opgesteld zijn. Hierdoor behouden ontwikkelaars en beheerders hun snelheid in oplevering en is inzichtelijk wat de status is met betrekking tot security, standaarden en kosten.
Azure policy is een service die ingebakken zit in Azure waarbij je regels in werking stelt die je omgeving beoordelen.
Azure policies hebben de volgende acties:
Deny
Audit
Append
Modify
Deployifnotexits
Het is dus niet een politieagent die de boel bewaakt en bepaalde zaken niet toe staat, maar kan ook bepaalde instellingen goed zetten en eventueel zelfs additionele gerelateerde resources extra aanbrengen. Denk hierbij aan bijvoorbeeld instellingen voor het loggen naar een centrale log omgeving zoals Log Analytics en/of storage accounts.
Bij compliancy moet je denken aan:
Naamgevingsconventie (misschien niet zo technisch, maar zorgt wel voor duidelijkheid en overzichtelijkheid)
Toevoegen van meta data middels het plaatsen van tags op de diverse scopes zoals resource groups en resources zorgt voor een betere identificatie van de diverse resources in je azure omgeving. Dit wordt voornamelijk gebruikt om een goed inzicht te krijgen in de kosten in Azure verdeeld over de diverse toepassingen die je hebt draaien
(1) MS Defender for Cloud geeft je inzicht in hoe veilig je omgeving erbij staat. Hierbij kun je je omgeving laten auditten op industriestandaarden zoals ISO27001 of de guidelines van CIS (Center for Internet Security)
(2) Defender maakt gebruik van Azure policy, gebruik het zelf ook om je omgeving op een geautomatiseerde manier te laten voldoen
Met management groups kun je meerdere subscripties efficienter beheren. Je kunt meerdere subscripties onder een management group plaatsen en je kunt ook management groups zelf in een andere group zetten. Je kunt hiermee dus een hierarchisch model mee creeeren waarbij de rollen/rechten en policies van boven naar beneden overgenomen worden door middel van overerving. Hiermee zorg je er niet alleen voor dat meerdere subscripties eenzelfde behandeling krijgen, maar ook dat bepaalde policies op een hoger niveau niet aangepast kunnen worden door beheerder en/of ontwikkelaars die rechten hebben op onderliggende zaken. Bijvoorbeeld:
Security Admin heeft op de root rechten om policies te plaatsen
(1) en zet een policy welke bepaalt dat alle storage accounts alleen encrypted data transfer mogen toestaan
(2) Cloud Admins hebben schrijf rechten (contributor of owner) vanaf lager gelegen mgmt groups
Ondanks dat ze owner zijn, moeten ze voldoen aan de policy en kunnen ze die policy niet wijzigen, omdat deze geplaatst is op een hoger niveau waar ze zelf geen rechten op hebben.
Naast het feit dat Azure diverse redundancy heeft, niet alleen in de datacenters, maar ook opties om data op meerdere geografische locaties op te slaan en te synchroniseren. Zijn backups nog steeds belangrijk voor bepaalde data. Uiteraard heeft Azure hiervoor oplossingen beschikbaar. Een aantal data services hebben reeds backup faciliteiten ingebakken en daarnaast biedt MS met Azure backup de mogelijkheid om workloads zoals VM’s, SQL database en storage op te slaan in een of meerdere service recovery vaults.