Starten met Azure 20 mei 2022.pptx
•Download as PPTX, PDF•
0 likes•33 views
Wil je meer flexibiliteit, minder IT beheer of je innovatiekracht vergroten? Dan is de stap naar de cloud een logische keuze. Maar hoe start je? Hoe regel je het beheer en de beveiliging van een cloud omgeving? En hoe houd je grip op de kosten? Op 20 mei gingen we tijdens een webinar in op hoe je volgens de Microsoft richtlijnen een basisomgeving in Azure neerzet. Een veilige en schaalbare omgeving waarmee je standaarden afdwingt over hoe applicaties en data in de cloudomgeving gebruikt worden.
Recommended
Recommended
More Related Content
Similar to Starten met Azure 20 mei 2022.pptx
Similar to Starten met Azure 20 mei 2022.pptx (20)
More from Delta-N
More from Delta-N (20)
Starten met Azure 20 mei 2022.pptx
- 1. Starten met Azure V R I J D A G 2 0 M E I 2 0 2 2
- 2. Agenda Starten met Azure Azure Landing Zone De Basis De volgende stappen Verandering in IT organisatie
- 3. Even voorstellen… in/erik-kooijman/ erikk@delta-n.nl Erik Kooijman Azure Consultant Azure Architect jamieg@delta-n.nl Jamie Greeve Azure Consultant Cloud Engineer
- 4. Open het Q&A-venster bovenin: om zelf vragen te stellen om mededelingen te zien om andere vragen te zien Vragen?
- 5. Azure
- 11. Azure Landing Zone H T T P S : / / W W W . D E L T A - N . N L / O P L O S S I N G E N / A Z U R E - L A N D I N G - Z O N E / Een basisinrichting in Azure die een veilige en duurzame omgeving biedt voor je toepassingen. Een Azure-omgeving waarbij rekening gehouden is met schaal, governance, compliance, connectiviteit en security. Azure landingszones maken migratie, modernisering en innovatie van toepassingen mogelijk in Azure.
- 12. De Basis
- 15. Uitbreiding nodig? Hub-Spoke HUB NETWORK SPOKE NETWORK 1 SPOKE NETWORK 3 SPOKE NETWORK 2 Internet ON-PREMISE NETWORK
- 16. Azure Active Directory: Identity provider Gekoppeld aan Azure subscriptions Single Sign-On, Multi-Factor Authentication Role Based Access Control (RBAC) Toewijzen van rechten in Azure Identiteitsbeheer
- 18. Role Based Access Control (RBAC)
- 19. RBAC R O L E A S S I G N M E N T S 1 2 3
- 22. Op naar de volgende stappen
- 25. Beleidsbewaking T R A D I T I O N E L E M A N I E R Developers Operations Cloud Custodian / Engineers responsible for Cloud environment
- 26. Azure Policy Developers Built-in controls through policy instead of workflow Operations Cloud Custodian Team
- 27. Policy definities en initiatives Heel veel built-in policy definities, maar ook mogelijkheid om eigen custom policies aan te maken (eventueel gebaseerd op bestaande) Policy Initiatives is een bundeling van meerdere definities
- 28. Policy Assignments Net als RBAC vanaf een bepaalde scope Exclusion
- 29. Deny Audit Append Modify DeployIfNotExists Policy acties Dus niet alleen deny of audit, maar kan ook property configuraties correct zetten of zelfs gerelateerde resources toevoegen. Denk aan: Configuratie voor de logging van allerlei netwerk resources naar centrale workspace versturen.
- 30. Afspraken over naamgeving Tagging (meta data) Security standaarden Eigen standaarden Microsoft Defender for Cloud (Azure Security Center) Industriestandaarden (ISO) Compliance Defender maakt gebruik van Azure Policy.
- 31. Management Groups Security Admin: Only HTTPS Cloud Admin: Owner
- 32. Cost Analysis Budgets Cost Alerts Gebruik tags zoals costcenter Besparingen middels: Resources uitzetten/verwijderen Resources kleiner schalen Reserveringen Cost Management
- 33. Encryption at REST Encryption in transit Key Vaults Security Threat Detection Data Security Web Application Firewall SQL Threat protection Azure Active Directory Identity Protection IDS/IPS (Azure) Firewall MS Defender for Cloud: workload protection plans
- 36. Azure SQL: Backups Storage: Soft delete Versioning Azure Backup: SQL VM: DB backups VM’s Langere retenties Backups
- 37. Maak gebruik van diverse services om het werk te automatiseren Zorgt voor: Werk uit handen Eenduidigheid Compliance Automation Azure Automation Azure Policy Azure Logic Apps Azure DevOps
- 38. Verandering in IT • Centrale IT zorgt voor begeleiding en governance • Applicatie teams beheren hun eigen apps met cloud native en development tools • provisioning middels DevOps modellen • IT heeft centrale controle • Centraal beheer en processen om applicaties en infrastructuur te beheren • VM, Storage, Networking… resources hebben veel tijd nodig om uit te rollen Servers Services
- 39. Infrastructure as Code D E V O P S B E N A D E R I N G DevOps approach to infrastructure deployment Infrastructure-as-code == declarative, repeatable, consistent
- 40. Basis: Netwerk Identiteitsbeheer Meer volwassen omgeving: Governance Security Beheer Organisatie: DevOps, Code Automatiseren Even samenvattend
- 41. Webinar Azure Virtual Desktop 3 juni | Webinar Azure Virtual Desktop | Delta-N Microsoft 365 Journaal Ieder kwartaal | www.delta-n.nl/microsoft-365-journaal/ 17 juni, 16 September en 9 december Webinar Nieuw in Azure DevOps Ieder kwartaal | www.delta-n.nl/evenement/webinar-nieuw-in-azure-devops/ 1 juli en 7 oktober Scan de QR-code voor de evenementenagenda Evenementen agenda W W W . D E L T A - N . N L / E V E N E M E N T E N
- 42. Direct terug te kijken webinars Webinar ‘Digitaal samenwerken’ on demand https://www.delta-n.nl/nieuws/webinar-digitaal-samenwerken-terugkijken/ Webinar ‘Grip houden op je gebruikers en apparaten’ on demand https://www.delta-n.nl/nieuws/terugkijken-webinar-identiteits-en-apparatenbeheer/ Webinar ‘Succesvol IT-veranderingen doorvoeren’ on demand https://www.delta-n.nl/nieuws/terugkijken-webinar-succesvol-it-verandering-doorvoeren/ Webinar ‘Bescherm je Microsoft 365 data’ on demand https://www.delta-n.nl/nieuws/bescherm-uw-microsoft-365-data-met-security-webinar/ Webinar ‘Bellen met externen via Microsoft Teams’ on demand https://www.delta-n.nl/nieuws/bellen-met-microsoft-teams/ Webinar ‘Eenvoudig processen automatiseren met Power Apps’ on demand https://www.delta-n.nl/nieuws/eenvoudig-processen-automatiseren-met-microsoft-powerapps/ Webinar ‘Stapsgewijs naar een Moderne Werkplek’ on demand https://www.delta-n.nl/nieuws/stapsgewijs-naar-een-moderne-werkplek/
- 43. “Delta-N heeft in nauwe samenwerking met onze architecten een Azure Landing Zone architectuur ontworpen. Doel en uitdaging waren om de Azure Cloud veilig te integreren in onze bestaande omgeving. Door gezamenlijk op te trekken hebben wij intern kennis opgebouwd en kennen we nu de (on)mogelijkheden voor de vervolgstappen.“ Roel van Teeseling, Projectmanager data CIBG “Met het onze applicaties op Azure zijn we klaar voor de toekomst. De Azure Landing zone biedt ons flexibiliteit en veiligheid. We kunnen nu eenvoudig capaciteit bij- schalen, al dan niet tijdelijk. En we kunnen veel sneller nieuwe ontwikkelingen doorvoeren.” Pieter Kersten, Hoofd Bedrijfsvoering AkzoNobel “Dankzij de Azure Landing Zone die Delta-N heeft neergezet was de stap naar Azure geen lang traject, maar stond er snel een basisinrichting volgens de Microsoft richtlijnen. Hierdoor konden we direct profiteren van voordelen als flexibiliteit en schaalbaarheid en hebben we een goede basis voor de toekomst.” René Mulders, Productmanager BRIS “Delta-N heeft onze Azure Landing Zone ontwikkeld en in nauwe afstemming met ons gerealiseerd. De omgeving moest schaalbaar, toekomstvast en vooral veilig zijn. Wij werken met patiëntendata en goedkeuring van onze security officer op de oplossing was daarom noodzakelijk om in productie te kunnen gaan.” Margit Laurs, Chief Plans LCPS Enkele klanten
- 44. Meer weten? C L O U D S O L U T I O N S Heb je concrete vragen over Azure Landing Zones of andere Cloud oplossingen van Microsoft? Of heb je ondersteuning nodig bij de implementatie of adoptie van deze oplossingen? Neem gerust contact met mij op. Heiko Wijtenburg 085 – 487 52 21 heikow@delta-n.nl https://www.delta-n.nl/oplossingen/azure-landing-zone/
- 45. Microsoft 365 Development DevOps Azure Laan van Waalhaven 450, 2497 GR Den Haag 085 – 487 52 00 | info@delta-n.nl | www.delta-n.nl
Editor's Notes
- Welkom bij het Webinar “Starten met Azure” waar we ingaan op de diverse zaken die spelen als je gebruik wilt gaan maken van Azure, maar ook als je al wat oplossingen in Azure hebt draaien, maar dit verder wilt uitbreiden en meer grip op de omgeving wilt hebben.
- De agenda die we in hoofdlijnen hebben is de volgende:
- Azure is het Cloud Platform van Microsoft om diverse oplossingen voor je organisatie te hosten. Dit kunnen bijvoorbeeld online web applicaties zijn, maar ook interne bedrijfsapplicaties, dataopslag, data analytics, virtual desktop infrastructuur, enz. Het biedt hiervoor een ruime selectie van producten en cloudservices om nieuwe oplossingen te creeeren, of bestaande naar toe te migreren. Een Cloud platform kenmerkt zich door de grote schaal waarmee het opgezet is waardoor innovatieve services op een eenvoudige manier af te nemen zijn zonder zelf hiervoor een enorme investering voor te maken. Daarnaast geeft het self-service aspect je de controle over je eigen inrichting in de Cloud. Aangezien de Azure Cloud een pay-per-use model hanteert, is het verstandig om hier ook goed op in te spelen. Omdat er zoveel te doen is in Azure en je met meerdere personen/teams hiermee aan de slag kunt, is het verstandig om over een aantal zaken goed na te denken om zo doende grip te houden op de gehele omgeving, niet alleen op beveiliging e.d., maar ook op kosten. Starten met Azure is als in een nieuw huis gaan wonen.
- Voordat je op een bank kan gaan zitten en TV kijken of lekker kan gaan koken in je nieuwe keuken zal eerst dit huis ontworpen, gebouwd en ingericht moeten worden.
- Een huis heeft als eerste een goede fundering nodig voordat er muren en een dak op geplaatst kunnen worden.
- Ook heb je ramen en een voordeur nodig met een slot.
- Met deze basis kun je in ieder geval droog en beschut verblijven, ergens een bank neer zetten en neerploffen.. Wil je er serieus verblijven met een heel gezin, dan ga je denken aan een extra verdieping, isolatie, dubbel glas. verwarming, keuken met koelkast, vloerbedekking, kasten, etc. Wellicht heb je nog jonge kinderen en zorg je voor kindersluitingen op kastjes waar ze niet in mogen. Een beveiligingsinstallatie met camera’s geeft je ook nog wat gemoedsrust en een mooie tuin met een schutting eromheen is ook wel erg fijn voor de mooie dagen in het jaar.
- Als je gaat starten met Azure of als je reeds het een en ander in Azure hebt draaien, maar dit serieus verder wilt uitbreiden, is het net zo. Deze wil je ook voorzien van een basisinrichting voordat je workloads (applicatieomgevingen) hierin aanbrengt of naar toe migreert. Afhankelijk van de grootte van je eigen IT organisatie, het aantal en type workloads (online en/of interne bedrijfsapplicaties), kun je het zo eenvoudig of uitgebreid maken wat hierbij past. Ook de gevoeligheid van de data die je in Azure wilt gebruiken, bepaalt of je hier extra aandacht aan moet schenken. Deze basisinrichting om workloads veilig te laten landen noemen we een “Azure Landing Zone”. Dit kun je op een enterprise schaal opzetten, maar ook klein beginnen en steeds verder uitbreiden.
- @@@ Alrik: Visueel aantrekkelijker maken (iets meer wit) Met een Azure Landing Zone bieden wij klanten een basisinrichting in Azure waarmee ze een veilige en duurzame omgeving hebben voor hun workloads. (definitie) @@@ Heiko De inrichting van een Azure-omgeving die rekening houdt met schaal, beveiligingsgovernance, netwerken en identiteit. Azure landingszones maken migratie, modernisering en innovatie van toepassingen mogelijk in Azure. Azure-landingszones zijn de uitvoer van een Azure-omgeving met meerdere abonnementsabonnementen die rekening houden met schaal, beveiligingsgovernance, netwerken en identiteit. Azure-landingszones maken migratie, modernisering en innovatie van toepassingen mogelijk op ondernemingsschaal in Azure. Deze zones nemen alle platformbronnen in beschouwing die nodig zijn voor de ondersteuning van de toepassingsportefeuille van de klant en onderscheiden zich niet van de infrastructuur als een dienst of platform als een dienst.
- Maar laten we eerst beginnen bij de basis
- De basis wordt gevormd door 2 hoofd onderdelen: Netwerk Identiteitsbeheer
- Bij het netwerk gaat het om zaken zoals: connectiviteit met het Internet en eventueel On-Premise locaties. Routering Firewalls DMZ Applicatie gateways
- Een veel gebruikt netwerkmodel is het Hub Spoke model. Hierbij staat het Hub network centraal Met hieraan gekoppeld: 1. de spoke netwerken waarin de benodigde workloads aan gekoppeld zijn. Het hub network zorgt centraal voor de koppeling met: 2. internet en eventueel 3. een On-Premise network middels een gateway 4. Een applicatie gateway in de Hub zorgt voor het veilig publiceren van web applicaties 5. En een firewall kan het verkeer tussen spokes en naar het internet centraal controleren 6. Heb je een uitbreiding nodig, 7. dan zet je er een extra spoke bij
- Een veel gebruikt netwerkmodel is het Hub Spoke model. Hierbij staat het Hub network centraal Met hieraan gekoppeld: 1. de spoke netwerken waarin de benodigde workloads aan gekoppeld zijn. Het hub network zorgt centraal voor de koppeling met: 2. internet en eventueel 3. een On-Premise network middels een gateway 4. Een applicatie gateway in de Hub zorgt voor het veilig publiceren van web applicaties 5. En een firewall kan het verkeer tussen spokes en naar het internet centraal controleren 6. Heb je een uitbreiding nodig, 7. dan zet je er een extra spoke bij
- Als we praten over identiteitsbeheer, dan hebben we het over Azure Active Directory als identity provider met o.a. users en groups. Single Sign-On voor beheerders en Role Based Access Control om de permissies te regelen in Azure.
- Voordat we verder ingaan op het toekennen van rechten, eerst even wat uitleg over de hierarchische opbouw in Azure. 1 - Services worden afgenomen door resources aan te maken 2 – Deze resources worden gegroepeerd in resource groups. 3 – resources en resource groups maak je aan binnen een subscriptie 4 – Subscripties kun je logisch groeperen onder management groups Van boven naar beneden vindt overerving plaats En er is een 1 op N relatie (dus een subscriptie kan onder 1 mgmt group vallen en een resource in 1 RG)
- Role Based Access Control (RBAC) is onderdeel van Identity Access Management en Hiermee deel je de benodigde permissies uit aan de identiteiten. We hebben hier te maken met 3 objecten: Security Principals (identiteiten) zoals users, groups Role definities (permissies per rol gedefinieerd) De scope waarop dit van toepassing is In Azure heb je een hierarchisch model om resources te organiseren: Management groups zijn placeholders om subscripties te bundelen en permissies en andere zaken gezamelijk te configureren Binnen subscripties heb je resource groups om resources te groeperen Van boven naar beneden vindt overerving plaats en gaat het om een 1 op n relatie, dus een subscriptie kan maar aan 1 management group gekoppeld worden, maar een management group kan wel meerdere subscriptie gekoppeld hebben
- De toewijzing van rechten wordt gedaan middels een role assignment Als security principal hebben we hier de AD group “Marketing” Die geven we de role “contributor” En plaatsen deze op de scope van de resource group “pharma-sales”
- De toewijzing van rechten wordt gedaan middels een role assignment Als security principal hebben we hier de AD group “Marketing” We nemen hierbij de role definitie “contributor” En plaatsen deze op de scope van de resource group “pharma-sales”
- We hebben nu in de basis een woning waarin we prima kunnen vertoefen met een partner. Maar we denken aan gezinsuitbreiding, meer opslag, thuiswerk plek, betere beveiliging……….
- Dus we willen hiernaartoe..
- Als we te maken krijgen met meer kritische applicaties, gevoeligere data en een grotere omgeving met meer resources, maar ook meer beheerders, ontwikkelaars, oftewel meer mensen die ook in Azure wat moeten doen. Dan kijken we naar de volgende zaken: Beleid/Governance Beveiliging Beheer Dit zijn de 3 hoofd onderwerpen waar we verder naar moeten kijken.
- Op een traditionele manier wordt hetgeen ontwikkelaars en beheerders opleveren om in de cloud te plaatsen eerst beoordeeld voordat het aangebracht kan worden. Dit werkt erg vertragend en kan beter.
- Door gebruik te maken van Azure policy wordt op een automatische manier de omgeving compliant gemaakt en gehouden naar aanleiding van de regels die opgesteld zijn. Hierdoor behouden ontwikkelaars en beheerders hun snelheid in oplevering en is inzichtelijk wat de status is met betrekking tot security, standaarden en kosten.
- Azure policy is een service die ingebakken zit in Azure waarbij je regels in werking stelt die je omgeving beoordelen. Azure policies hebben de volgende acties: Deny Audit Append Modify Deployifnotexits Het is dus niet een politieagent die de boel bewaakt en bepaalde zaken niet toe staat, maar kan ook bepaalde instellingen goed zetten en eventueel zelfs additionele gerelateerde resources extra aanbrengen. Denk hierbij aan bijvoorbeeld instellingen voor het loggen naar een centrale log omgeving zoals Log Analytics en/of storage accounts.
- Bij compliancy moet je denken aan: Naamgevingsconventie (misschien niet zo technisch, maar zorgt wel voor duidelijkheid en overzichtelijkheid) Toevoegen van meta data middels het plaatsen van tags op de diverse scopes zoals resource groups en resources zorgt voor een betere identificatie van de diverse resources in je azure omgeving. Dit wordt voornamelijk gebruikt om een goed inzicht te krijgen in de kosten in Azure verdeeld over de diverse toepassingen die je hebt draaien (1) MS Defender for Cloud geeft je inzicht in hoe veilig je omgeving erbij staat. Hierbij kun je je omgeving laten auditten op industriestandaarden zoals ISO27001 of de guidelines van CIS (Center for Internet Security) (2) Defender maakt gebruik van Azure policy, gebruik het zelf ook om je omgeving op een geautomatiseerde manier te laten voldoen
- Met management groups kun je meerdere subscripties efficienter beheren. Je kunt meerdere subscripties onder een management group plaatsen en je kunt ook management groups zelf in een andere group zetten. Je kunt hiermee dus een hierarchisch model mee creeeren waarbij de rollen/rechten en policies van boven naar beneden overgenomen worden door middel van overerving. Hiermee zorg je er niet alleen voor dat meerdere subscripties eenzelfde behandeling krijgen, maar ook dat bepaalde policies op een hoger niveau niet aangepast kunnen worden door beheerder en/of ontwikkelaars die rechten hebben op onderliggende zaken. Bijvoorbeeld: Security Admin heeft op de root rechten om policies te plaatsen (1) en zet een policy welke bepaalt dat alle storage accounts alleen encrypted data transfer mogen toestaan (2) Cloud Admins hebben schrijf rechten (contributor of owner) vanaf lager gelegen mgmt groups Ondanks dat ze owner zijn, moeten ze voldoen aan de policy en kunnen ze die policy niet wijzigen, omdat deze geplaatst is op een hoger niveau waar ze zelf geen rechten op hebben.
- Naast het feit dat Azure diverse redundancy heeft, niet alleen in de datacenters, maar ook opties om data op meerdere geografische locaties op te slaan en te synchroniseren. Zijn backups nog steeds belangrijk voor bepaalde data. Uiteraard heeft Azure hiervoor oplossingen beschikbaar. Een aantal data services hebben reeds backup faciliteiten ingebakken en daarnaast biedt MS met Azure backup de mogelijkheid om workloads zoals VM’s, SQL database en storage op te slaan in een of meerdere service recovery vaults.
- Vooral om na afloop webinar terug te kijken
- Vooral om na afloop webinar terug te kijken
- Nederlandse versie