Aanbevolen procedures voor het beveiligen en beheren van Azure-workloads

Wanneer u uw migratie naar de cloud plant, moet u niet alleen nadenken over de migratie zelf, maar ook rekening houden met uw beveiligings- en beheermodel in Azure. In dit artikel worden aanbevolen procedures beschreven voor het beveiligen van uw Azure-implementatie na de migratie. Het omvat ook doorlopende taken om uw implementatie op een optimaal niveau te houden.

Belangrijk

De best practices en adviezen die in dit artikel worden beschreven, zijn gebaseerd op het Azure-platform en de servicefuncties voor zover die bekend zijn op het moment van schrijven. Functies en mogelijkheden kunnen na verloop van tijd veranderen.

Gemigreerde workloads beveiligen

Na de migratie is het van het allerhoogste belang dat gemigreerde workloads goed worden beveiligd tegen interne en externe bedreigingen. Deze aanbevolen procedures helpen u bij het volgende:

  • Meer informatie over het werken met de bewaking, evaluaties en aanbevelingen van Microsoft Defender for Cloud.
  • lees de best practices voor het versleutelen van uw gegevens in Azure.
  • beveilig uw VM's tegen malware en schadelijke aanvallen.
  • zorg ervoor dat gevoelige informatie in gemigreerde web-apps goed wordt beveiligd.
  • controleer wie er na de migratie toegang heeft tot uw Azure-abonnementen en -resources.
  • Controleer regelmatig uw Azure-controle- en beveiligingslogboeken.
  • zorg ervoor dat u met geavanceerde beveiligingsfuncties van Azure kunt werken en op basis hiervan conclusies kunt trekken.

Aanbevolen procedure: Aanbevelingen voor Microsoft Defender voor cloud volgen

Defender for Cloud biedt geïntegreerd beveiligingsbeheer voor Azure-tenantbeheerders om workloads te beschermen tegen aanvallen. U kunt beveiligingsbeleid toepassen op workloads, blootstelling aan bedreigingen beperken en aanvallen detecteren en erop reageren. Defender for Cloud analyseert resources en configuraties in Azure-tenants en doet beveiligingsaanvelingen, waaronder:

  • Gecentraliseerd beleidsbeheer: Zorg ervoor dat u voldoet aan de beveiligingsvereisten van uw bedrijf of regelgeving door het beveiligingsbeleid centraal te beheren voor al uw hybride cloudworkloads.
  • Continue beveiligingsevaluatie: Bewaak de beveiligingspostuur van machines, netwerken, opslag- en gegevensservices en toepassingen om potentiële beveiligingsproblemen te detecteren.
  • Aanbevelingen die kunnen worden uitgevoerd: Beveiligingsproblemen herstellen voordat ze kunnen worden misbruikt door aanvallers, met prioriteit en bruikbare beveiligingsaanaanvelingen.
  • Waarschuwingen en incidenten met prioriteit: Richt u eerst op de meest kritieke bedreigingen, met prioriteit beveiligingswaarschuwingen en -incidenten.

Naast evaluaties en aanbevelingen biedt Defender for Cloud andere beveiligingsfuncties die u voor specifieke resources kunt inschakelen.

  • Just-In-Time-toegang (JIT). Verminder de kwetsbaarheid voor netwerkaanvallen met door JIT beheerde toegang tot beheerpoorten op Azure-VM's.
    • Als VM RDP-poort 3389 is geopend op internet, worden VM's blootgesteld aan continue activiteit van slechte actoren. Azure-IP-adressen zijn goed bekend en hackers testen deze voortdurend voor aanvallen op geopende 3389-poorten.
    • JIT maakt gebruik van netwerkbeveiligingsgroepen (NSG's) en binnenkomende regels die de hoeveelheid tijd beperken waarop een specifieke poort is geopend.
    • Als JIT-toegang is ingeschakeld, controleert Defender for Cloud of een gebruiker schrijfmachtigingen voor een VIRTUELE machine heeft met op rollen gebaseerd toegangsbeheer (Azure RBAC). Daarnaast kunt u regels opgeven voor de wijze waarop gebruikers verbinding kunnen maken met VM's. Als machtigingen OK zijn, wordt een toegangsaanvraag goedgekeurd en configureert Defender for Cloud NSG's om binnenkomend verkeer naar de geselecteerde poorten toe te staan voor de tijd die u opgeeft. NSG's keren terug naar de vorige status wanneer de tijd verloopt.
  • Adaptieve toepassingsbesturingselementen. Houd software en malware buiten VM's door te bepalen welke toepassingen erop worden uitgevoerd met behulp van dynamische acceptatielijsten.
    • Met adaptieve toepassingsbesturingselementen kunt u toepassingen goedkeuren en voorkomen dat malafide gebruikers of beheerders niet-goedgekeurde softwaretoepassingen installeren of controleren op uw VM's.
      • U kunt pogingen blokkeren of waarschuwen om schadelijke toepassingen uit te voeren, ongewenste of schadelijke toepassingen te voorkomen en naleving van het toepassingsbeveiligingsbeleid van uw organisatie te garanderen.
  • Bewaking van bestandsintegriteit. Zorg voor de integriteit van bestanden die op VM's worden uitgevoerd.
    • Het installeren van software is niet de enige manier om VM-problemen te veroorzaken. Wanneer een systeembestand wordt gewijzigd, kan dit er ook toe leiden dat een VM niet (goed) werkt of de prestaties verslechteren. Bewaking van bestandsintegriteit onderzoekt systeembestanden en registerinstellingen voor wijzigingen en geeft u een bericht als er iets wordt bijgewerkt.
    • Defender for Cloud raadt aan welke bestanden u moet bewaken.

Meer informatie:

Best practice: Gegevens versleutelen

Versleuteling is een belangrijk onderdeel van beveiligingsmethoden in Azure. Versleuteling op alle niveaus inschakelen om te voorkomen dat onbevoegde partijen toegang krijgen tot gevoelige gegevens, waaronder gegevens die worden overgedragen en inactieve gegevens.

Versleuteling voor infrastructuur als een service

  • Virtuele machines: Voor VM's kunt u Azure Disk Encryption gebruiken om uw Virtuele IaaS-schijven (Windows- en Linux Infrastructure as a Service) te versleutelen.
    • Azure Disk Encryption maakt gebruik van BitLocker voor Windows en dm-crypt voor Linux om volumeversleuteling te bieden voor het besturingssysteem en gegevensschijven.
    • U kunt een versleutelingssleutel gebruiken die door Azure is gemaakt, maar u kunt ook uw eigen versleutelingssleutels opgeven die in Azure Key Vault worden bewaard.
    • Met Azure Disk Encryption worden IaaS-VM-gegevens beveiligd in rust (op de schijf) en tijdens het opstarten van de VM.
      • Defender voor Cloud waarschuwt u als u VM's hebt die niet zijn versleuteld.
  • Opslag: Beveilig at-rest-gegevens die zijn opgeslagen in Azure Storage.
    • Gegevens die zijn opgeslagen in Azure Storage-accounts kunnen worden versleuteld met behulp van door Microsoft gegenereerde AES-sleutels die compatibel zijn met FIPS 140-2, of u kunt uw eigen sleutels gebruiken.
    • Azure Storage-versleuteling is ingeschakeld voor alle nieuwe en bestaande opslagaccounts en kan niet worden uitgeschakeld.

Versleuteling voor platform als een service

In tegenstelling tot IaaS, waarin u uw eigen VM's en infrastructuur beheert, worden het platform en de infrastructuur beheerd door de provider in een PaaS-model (Platform as a Service). U kunt zich richten op kerntoepassingslogica en -mogelijkheden. Er zijn veel verschillende soorten PaaS-services en elke service wordt afzonderlijk geëvalueerd voor beveiligingsdoeleinden. Laten we bijvoorbeeld zien hoe u versleuteling voor Azure SQL Database kunt inschakelen.

  • Always Encrypted: gebruik de wizard Always Encrypted in SQL Server Management Studio om data-at-rest te beveiligen.
    • U maakt een Always Encrypted sleutel om afzonderlijke kolomgegevens te versleutelen.
    • Always Encrypted-sleutels kunnen versleuteld worden opgeslagen in databasemetagegevens of worden opgeslagen in vertrouwde opslagplaatsen voor sleutels, zoals Azure Key Vault.
    • Waarschijnlijk moet u toepassingswijzigingen aanbrengen om deze functie te kunnen gebruiken.
  • Transparent Data Encryption (TDE): Beveilig de Azure SQL Database met realtime versleuteling en ontsleuteling van de database, gekoppelde back-ups en transactielogboekbestanden in rust.
    • Met TDE kunnen versleutelingsactiviteiten plaatsvinden zonder wijzigingen in de toepassingslaag.
    • TDE kan versleutelingssleutels van Microsoft gebruiken of u kunt uw eigen sleutel gebruiken.

Meer informatie:

Aanbevolen procedure: VM's beveiligen met antimalware

Oudere azure-gemigreerde VM's hebben mogelijk niet het juiste niveau van antimalware geïnstalleerd. Azure biedt een gratis eindpuntoplossing waarmee VM's worden beveiligd tegen virussen, spyware en andere malware.

  • Microsoft Antimalware voor Azure Cloud Services en Virtual Machines waarschuwingen genereert wanneer bekende schadelijke of ongewenste software zichzelf probeert te installeren.

  • Het bestaat uit één agentoplossing die op de achtergrond wordt uitgevoerd zonder tussenkomst van de gebruiker.

  • Defender voor Cloud kan vm's identificeren waarop endpoint protection niet wordt uitgevoerd, zodat u Microsoft Antimalware indien nodig kunt installeren.

    Schermopname van Microsoft Antimalware voor VM's.

    Afbeelding 1: Microsoft Antimalware voor Azure.

Meer informatie:

Aanbevolen procedure: Web-apps beveiligen

Bij gemigreerde web-apps kunnen zich een aantal problemen voordoen:

  • De meeste verouderde webtoepassingen bevatten vaak gevoelige informatie in de configuratiebestanden. Bestanden met dergelijke informatie kunnen beveiligingsproblemen opleveren wanneer een back-up van toepassingen wordt gemaakt of wanneer toepassingscode wordt ingecheckt of niet in broncodebeheer is opgenomen.
  • Wanneer u web-apps migreert die zich in een VIRTUELE machine bevinden, verplaatst u die machine waarschijnlijk van een on-premises netwerk en een omgeving die is beveiligd met een firewall, naar een omgeving die gericht is op internet. Zorg ervoor dat u een oplossing instelt die hetzelfde realiseert als uw on-premises beveiligingsresources.

Azure biedt de volgende oplossingen:

  • Azure Key Vault: Tegenwoordig nemen web-app-ontwikkelaars stappen om ervoor te zorgen dat gevoelige informatie niet uit deze bestanden wordt gelekt. Een methode om gegevens te beveiligen, is door deze uit bestanden te halen en in een instantie van Azure Key Vault te plaatsen.

    • U kunt Key Vault gebruiken om de opslag van toepassingsgeheimen te centraliseren en hun distributie te beheren. Het voorkomt dat beveiligingsgegevens moeten worden opgeslagen in toepassingsbestanden.
    • Toepassingen hebben veilig toegang tot gegevens in de kluis met behulp van URI's, zonder dat er aangepaste code nodig is.
    • Met Azure Key Vault kunt u de toegang vergrendelen via Besturingselementen voor Beveiliging van Azure en rolling sleutels naadloos implementeren. Microsoft ziet uw gegevens niet of extraheert deze niet.
  • App Service Environment voor Power Apps: als een toepassing die u migreert extra beveiliging nodig heeft, kunt u overwegen App Service Environment en Web Application Firewall toe te voegen om de toepassingsbronnen te beveiligen.

    • App Service Environment biedt een volledig geïsoleerde en toegewezen omgeving voor het uitvoeren van toepassingen, zoals Windows- en Linux-web-apps, Docker-containers, mobiele apps en functie-apps.
    • Het is handig voor toepassingen die op grote schaal zijn, isolatie en beveiligde netwerktoegang vereisen of een hoog geheugengebruik hebben.
  • Web Application Firewall: Deze functie van Azure Application Gateway biedt gecentraliseerde beveiliging voor web-apps.

    • Hiermee worden web-apps beveiligd zonder dat er wijzigingen in de back-endcode nodig zijn.
    • Het beveiligt meerdere web-apps tegelijkertijd, achter Application Gateway.
    • U kunt Web Application Firewall bewaken met behulp van Azure Monitor. Web Application Firewall is geïntegreerd in Defender for Cloud.

    Diagram van Azure Key Vault en beveiligde web-apps.

    Afbeelding 2: Azure Key Vault.

Meer informatie:

Aanbevolen procedure: Abonnementen en resourcemachtigingen controleren

Terwijl u uw workloads migreert en uitvoert in Azure, kunnen medewerkers met workloadtoegang zich verplaatsen. Uw beveiligingsteam moet regelmatig controleren wie toegang heeft tot uw Azure-tenant en -resourcegroepen. Azure heeft aanbiedingen voor identiteitsbeheer en toegangsbeheer, waaronder op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om machtigingen te autoriseren voor toegang tot Azure-resources.

  • Azure RBAC wijst toegangsmachtigingen toe voor beveiligingsprinciplen. Beveiligingsprinciplen vertegenwoordigen gebruikers, groepen (een set gebruikers), service-principals (identiteit die wordt gebruikt door toepassingen en services) en beheerde identiteiten (een Azure Active Directory-identiteit die automatisch wordt beheerd door Azure).
  • Azure RBAC kan rollen toewijzen aan beveiligingsprinciplen (zoals Eigenaar, Inzender en Lezer) en roldefinities (een verzameling machtigingen) waarmee de bewerkingen worden gedefinieerd die de rollen kunnen uitvoeren.
  • Azure RBAC kan ook bereiken instellen die de grens voor een rol instellen. Het bereik kan op verschillende niveaus worden ingesteld, waaronder een beheergroep, abonnement, resourcegroep of resource.

Zorg ervoor dat beheerders met Azure-toegang alleen toegang hebben tot resources die u wilt toestaan. Als de vooraf gedefinieerde rollen in Azure niet gedetailleerd genoeg zijn, kunt u aangepaste rollen maken om de toegangsrechten te scheiden en te beperken.

Schermopname van op rollen gebaseerd toegangsbeheer**.

Afbeelding 3: Op rollen gebaseerd toegangsbeheer.

Meer informatie:

Aanbevolen procedure: audit- en beveiligingslogboeken controleren

Azure Active Directory (Azure AD) biedt activiteitenlogboeken die in Azure Monitor worden weergegeven. In de logboeken wordt vastgelegd welke bewerkingen zijn uitgevoerd in Azure-tenants, wanneer deze zijn uitgevoerd en wie deze heeft uitgevoerd.

  • In auditlogboeken wordt de geschiedenis van taken in de tenant weergegeven. In logboeken met aanmeldingsactiviteiten wordt weergegeven wie de taken heeft uitgevoerd.

  • De toegang tot beveiligingsrapporten is afhankelijk van uw Azure AD-licentie. Met de gratis en basislicenties krijgt u een lijst met riskante gebruikers en aanmeldingen. Met de Premium-licenties krijgt u informatie over onderliggende gebeurtenissen.

  • U kunt activiteitenlogboeken doorsturen naar verschillende eindpunten voor langetermijnretentie en gegevensinzichten.

  • Maak het gebruikelijk om de logboeken te controleren of integreer uw HULPPROGRAMMA's voor beveiligingsincidenten en gebeurtenisbeheer (SIEM) om afwijkingen automatisch te controleren. Als u geen Premium-licentie gebruikt, moet u zelf veel analyses uitvoeren of uw SIEM-systeem gebruiken. In de analyses wordt onder andere gezocht naar risicovolle aanmeldingen en gebeurtenissen, en andere patronen van gebruikersaanvallen.

    Schermopname van Azure AD gebruikers en groepen.

    Afbeelding 4: Azure AD gebruikers en groepen.

Meer informatie:

Aanbevolen procedure: Andere beveiligingsfuncties evalueren

Azure biedt andere beveiligingsfuncties met geavanceerde beveiligingsopties. Voor sommige van de volgende aanbevolen procedures zijn uitbreidingslicenties en Premium-opties vereist.

  • Implementeer Azure AD beheereenheden. Het delegeren van beheertaken aan ondersteuningsmedewerkers kan lastig zijn met alleen het standaardtoegangsbeheer van Azure. Het verlenen van toegang aan ondersteuningsmedewerkers om alle groepen in Azure AD te beheren, is waarschijnlijk niet de ideale methode voor de beveiliging van de organisatie. U kunt beheereenheden gebruiken om Azure-resources op een vergelijkbare manier te scheiden in containers als on-premises organisatie-eenheden (OE's). Als u beheereenheden wilt gebruiken, moet de beheerder van de beheereenheden beschikken over een premium-Azure AD licentie. Zie beheer van beheereenheden in Azure AD voor meer informatie.
  • Meervoudige verificatie gebruiken. Als u een Premium Azure AD-licentie hebt, kunt u meervoudige verificatie inschakelen en afdwingen voor uw beheerdersaccounts. Phishing is de meest voorkomende manier waarop inbreuk wordt gemaakt op inloggegevens voor accounts. Wanneer een slechte actor beheerdersaccountreferenties heeft, worden deze niet gestopt van verregaande acties, zoals het verwijderen van al uw resourcegroepen. U kunt meervoudige verificatie op verschillende manieren tot stand brengen, waaronder met e-mail, een authenticator-app en sms-berichten. Als beheerder kunt u voor de minst hinderlijke optie kiezen. Meervoudige verificatie kan worden geïntegreerd met bedreigingsanalyse en beleid voor voorwaardelijke toegang om willekeurig een antwoord op meervoudige verificatievraag te vereisen. Meer informatie over aanbevolen procedures voor identiteitsbeheer en toegangsbeheer van Azure en het instellen van meervoudige verificatie.
  • Implementeer voorwaardelijke toegang. In de meeste kleine en middelgrote organisaties bevinden Azure-beheerders en het ondersteuningsteam zich waarschijnlijk in één geografie. In dit geval zijn de meeste aanmeldingen afkomstig uit dezelfde gebieden. Als de IP-adressen van deze locaties redelijk statisch zijn, is het logisch dat u geen aanmeldingen van beheerders van buiten deze gebieden moet zien. Zelfs als een externe slechte actor in gevaar komt met de referenties van een beheerder, kunt u beveiligingsfuncties zoals voorwaardelijke toegang implementeren, gecombineerd met meervoudige verificatie, om te voorkomen dat u zich aanmeldt vanaf externe locaties. Het kan ook voorkomen dat vervalste locaties willekeurige IP-adressen hebben. Meer informatie over voorwaardelijke toegang en best practices voor voorwaardelijke toegang bekijken in Azure AD.
  • Controleer de machtigingen voor bedrijfstoepassingen. Beheerders selecteren na verloop van tijd koppelingen van Microsoft en derden zonder dat ze hun effect op de organisatie kennen. Koppelingen kunnen toestemmingscontroles presenteren waarmee machtigingen worden toegewezen aan Azure-apps, waardoor toegang tot Azure AD gegevens kan worden gelezen of zelfs volledige toegang om uw hele Azure-abonnement te beheren. Controleer regelmatig de toepassingen waartoe uw beheerders en gebruikers toegang hebben verleend tot Azure-resources. Zorg ervoor dat deze toepassingen alleen de benodigde machtigingen hebben. Daarnaast kunt u gebruikers elk kwartaal of halfjaar per jaar een koppeling naar toepassingspagina's sturen, zodat ze op de hoogte zijn van de toepassingen waartoe ze toegang hebben verleend tot hun organisatiegegevens. Zie onverwachte toepassing in mijn lijst met toepassingen en hoe u toepassingstoewijzingen beheert in Azure AD voor meer informatie.

Gemigreerde workloads beheren

In de volgende secties worden enkele aanbevolen procedures voor Azure-beheer aanbevolen, waaronder:

  • best practices voor Azure-resourcegroepen en -resources, zoals slimme naamgeving, het voorkomen van onopzettelijk verwijderen, het beheren van resourcerechten en het effectief taggen van resources.
  • Een overzicht van het gebruik van blauwdrukken voor het bouwen en beheren van uw implementatieomgevingen.
  • Bekijk voorbeeldarchitecturen van Azure tijdens het bouwen van uw implementaties na de migratie.
  • als u meerdere abonnementen hebt, kunt u deze in beheergroepen samenbrengen en governance-instellingen op deze groepen toepassen.
  • pas nalevingsbeleid toe op uw Azure-resources.
  • stel een BCDR-strategie (Business Continuity and Disaster Recovery) op om uw gegevens veilig, uw omgeving flexibel en resources actief te houden wanneer er een storing optreedt.
  • Groepeer VM's in beschikbaarheidsgroepen voor flexibiliteit en hoge beschikbaarheid. Gebruik Managed Disks voor het gemak van het beheer van VM-schijven en opslag.
  • schakel logboekregistratie voor diagnostische gegevens in voor Azure-resources, stel waarschuwingen en playbooks samen voor proactieve probleemoplossing en gebruik het Azure-dashboard voor een geheeloverzicht van de implementatiestatus en status.
  • Krijg inzicht in uw Azure-ondersteuningsplan en hoe u dit kunt implementeren, best practices voor het up-to-date houden van VM's en processen in te stellen voor wijzigingsbeheer.

Aanbevolen procedure: Resourcegroepen een naam toewijzen

Uw resourcegroepen moeten betekenisvolle namen hebben die beheerders en ondersteuningsteamleden eenvoudig kunnen herkennen en scannen. Beschrijvende namen kunnen de productiviteit en efficiëntie drastisch verbeteren.

Als u uw on-premises Active Directory synchroniseert met Azure AD met behulp van Azure AD Connect, kunt u de namen van beveiligingsgroepen on-premises vergelijken met de namen van resourcegroepen in Azure.

Schermopname van naamgeving van resourcegroepen.

Afbeelding 5: Naamgeving van resourcegroepen.

Meer informatie:

Aanbevolen procedure: verwijderingsvergrendelingen implementeren voor resourcegroepen

Het laatste wat u wilt, is dat een resourcegroep ontbreekt omdat deze per ongeluk is verwijderd. U wordt aangeraden de resources te vergrendelen om onbedoeld verwijderen te voorkomen.

Schermopname van verwijderingsvergrendelingen.

Afbeelding 6: Vergrendelingen verwijderen.

Meer informatie:

Best practice: Inzicht krijgen in machtigingen voor toegang tot resources

Een abonnementseigenaar heeft toegang tot alle resourcegroepen en resources in het abonnement.

  • Wees spaarzaam met het toevoegen van personen aan deze waardevolle toewijzing. Het is belangrijk dat u weet wat de implicaties zijn van dit soort rechten, zodat uw omgeving veilig en stabiel blijft.
  • Zorg ervoor dat u resources in de juiste resourcegroepen plaatst:
    • Plaats resources met een vergelijkbare levenscyclus in eenzelfde groep. In het ideale geval zou u geen resource hoeven te verplaatsen wanneer u een hele resourcegroep wilt verwijderen.
    • Resources die een functie of workload ondersteunen, moeten in eenzelfde groep worden geplaatst zodat deze eenvoudiger kunnen worden beheerd.

Meer informatie:

Best practice: Resources effectief taggen

Vaak biedt het gebruik van alleen de naam van een resourcegroep met betrekking tot resources niet voldoende metagegevens voor effectieve implementatie van mechanismen, zoals interne facturering of beheer binnen een abonnement.

  • Als best practice gebruikt u Azure-tags om nuttige metagegevens toe te voegen die kunnen worden opgevraagd en gerapporteerd.

  • Tags bieden een manier om resources logisch te ordenen met eigenschappen die u definieert. Tags kunnen rechtstreeks worden toegepast op resourcegroepen of resources.

  • Tags kunnen worden toegepast op een resourcegroep of op afzonderlijke resources. Resourcegroeptags worden niet overgenomen door de resources in de groep.

  • U kunt taggen automatiseren met Behulp van PowerShell of Azure Automation, of afzonderlijke groepen en resources taggen.

  • Als u een aanvraag- en wijzigingsbeheersysteem hebt opgezet, kunt u eenvoudig de gegevens in de aanvraag gebruiken om uw bedrijfsspecifieke resourcetags te vullen.

    Schermopname van taggen.

    Afbeelding 7: Taggen.

Meer informatie:

Best practice: blauwdrukken implementeren

Net als met een blauwdruk kunnen technici en architecten de ontwerpparameters van een project schetsen, kan de Azure Blueprints-service cloudarchitecten en centrale IT-groepen een herhaalbare set Azure-resources definiëren. Met blauwdrukken kunnen ze standaarden, patronen en vereisten van een organisatie implementeren en naleven. Ontwikkelteams kunnen snel nieuwe omgevingen bouwen en maken die voldoen aan de nalevingsvereisten van de organisatie. Deze nieuwe omgevingen hebben een set ingebouwde onderdelen, zoals netwerken, om de ontwikkeling en levering te versnellen.

  • Gebruik blauwdrukken om de implementatie van resourcegroepen, Azure Resource Manager-sjablonen en beleids- en roltoewijzingen te organiseren.
  • Blauwdrukken opslaan in een wereldwijd gedistribueerde service, Azure Cosmos DB. Blauwdrukobjecten worden naar meerdere Azure-regio's gerepliceerd. Replicatie biedt lage latentie, hoge beschikbaarheid en consistente toegang tot een blauwdruk, ongeacht de regio waarnaar een blauwdruk resources implementeert.

Meer informatie:

Best practice: Azure-referentiearchitecturen bekijken

Het kan lastig zijn om veilige, schaalbare en beheerbare workloads in Azure te bouwen en verschillende functies voor een optimale omgeving bij te houden. Een referentiearchitectuur waaruit lering kan worden getrokken, kan nuttig zijn bij het ontwerpen en migreren van uw workloads. Azure en Azure-partners hebben verschillende referentiearchitecturen voor diverse soorten omgevingen ontwikkeld die als voorbeeld dienen. Met deze voorbeelden kunt u leerzame ideeën opdoen en u kunt ze als uitgangspunt gebruiken.

Referentiearchitecturen zijn geordend op scenario. Ze bevatten best practices en advies over beheer, beschikbaarheid, schaalbaarheid en beveiliging. App Service Environment biedt een volledig geïsoleerde en toegewezen omgeving voor het uitvoeren van toepassingen, zoals Windows- en Linux-web-apps, Docker-containers, mobiele apps en functies. Met App Service voegt u de mogelijkheden van Microsoft Azure, zoals beveiliging, taakverdeling, automatisch schalen en geautomatiseerd beheer, toe aan uw toepassing. U kunt ook gebruikmaken van de DevOps-mogelijkheden, zoals continue implementatie van Azure DevOps en GitHub, pakketbeheer, faseringsomgevingen, aangepast domein en SSL-certificaten. App Service is handig voor toepassingen die isolatie en beveiligde netwerktoegang nodig hebben, en toepassingen die grote hoeveelheden geheugen en andere resources gebruiken die moeten worden geschaald.

Meer informatie:

Best practice: Resources beheren met Azure-beheergroepen

Als uw organisatie meerdere abonnementen heeft, moet u de toegang, het beleid en de naleving hiervoor beheren. Azure-beheergroepen bieden een bereikniveau dat hoger is dan abonnementen. Hier vindt u enkele tips:

  • U organiseert abonnementen in containers met de naam beheergroepen en past governancevoorwaarden erop toe.
  • Alle abonnementen in een beheergroep nemen automatisch de beheergroepvoorwaarden over.
  • Beheergroepen bieden grootschalig beheer op ondernemingsniveau, ongeacht het type abonnementen dat u hebt.
  • U kunt bijvoorbeeld een beheergroepsbeleid toepassen waarmee de regio's worden beperkt waarin VM's kunnen worden gemaakt. Dit beleid wordt vervolgens toegepast op alle beheergroepen, abonnementen en resources die onder die beheergroep vallen.
  • U kunt een flexibele structuur van beheergroepen en abonnementen maken om uw resources in een hiërarchie te ordenen voor een uniform beleid en toegangsbeheer.

Het volgende diagram laat een voorbeeld zien van hoe een hiërarchie voor governance kan worden gemaakt met behulp van beheergroepen.

Diagram van beheergroepen.

Afbeelding 8: Beheergroepen.

Meer informatie:

Aanbevolen procedure: Azure Policy implementeren

Azure Policy is een service die u gebruikt om beleidsregels te maken, toe te wijzen en te beheren. Beleidsregels dwingen verschillende regels en effecten af voor uw resources, zodat deze resources voldoen aan uw bedrijfsstandaarden en serviceovereenkomsten.

Azure Policy uw resources evalueert, wordt gescand op niet-naleving van uw beleid. U kunt bijvoorbeeld een beleid maken waarmee alleen een specifieke SKU-grootte voor VM's in uw omgeving is toegestaan. Azure Policy evalueert deze instelling wanneer u resources maakt en bijwerkt en bij het scannen van bestaande resources. Houd er rekening mee dat Azure een aantal ingebouwde beleidsregels biedt die u kunt toewijzen, of dat u zelf een beleid kunt maken.

Schermopname van Azure Policy.

Afbeelding 9: Azure Policy.

Meer informatie:

Best practice: een BCDR-strategie implementeren

Het plannen van bedrijfscontinuïteit en herstel na noodgevallen (BCDR) is een kritieke oefening die u moet uitvoeren als onderdeel van uw Azure-migratieplanningsproces. In juridische termen kunnen uw contracten een overmachtclausule bevatten die verontschuldigen van verplichtingen als gevolg van een grotere kracht, zoals orkanen of aardbevingen. Maar u moet ervoor zorgen dat essentiële services blijven worden uitgevoerd en hersteld wanneer zich een noodgeval voordoet. Het kan de toekomst van uw bedrijf maken of breken.

In uw BCDR-strategie moet rekening worden gehouden met het volgende:

  • Back-up van gegevens: Hoe u uw gegevens veilig kunt houden, zodat u deze eenvoudig kunt herstellen als er storingen optreden.
  • Noodherstel: Uw toepassingen tolerant en beschikbaar houden als er storingen optreden.

BCDR instellen

Hoewel het Azure-platform enkele ingebouwde tolerantiemogelijkheden biedt, moet u uw Azure-implementatie ontwerpen om hiervan te profiteren.

  • Uw BCDR-oplossing is afhankelijk van uw bedrijfsdoelstellingen en wordt beïnvloed door uw Azure-implementatiestrategie. IaaS- (Infrastructure as a Service) en PaaS-implementaties (Platform as a Service) bieden verschillende uitdagingen voor BCDR.
  • Nadat deze zijn geïmplementeerd, moeten uw BCDR-oplossingen regelmatig worden getest om te controleren of uw strategie levensvatbaar blijft.

Back-up maken van een IaaS-implementatie

In de meeste gevallen wordt een on-premises workload buiten gebruik gesteld na de migratie en moet uw on-premises strategie voor het maken van back-ups van gegevens worden uitgebreid of vervangen. Als u uw hele datacenter naar Azure migreert, moet u een volledige back-upoplossing ontwerpen en implementeren met behulp van Azure-technologieën of geïntegreerde oplossingen van derden.

Voor workloads die op Azure IaaS-VM's worden uitgevoerd, kunt u de volgende back-upoplossingen gebruiken:

  • Azure Backup: biedt toepassingsconsistente back-ups voor Azure Windows- en Linux-VM's.
  • Momentopnamen van opslag: Maakt momentopnamen van Blob Storage.
Azure Backup

Azure Backup maakt gegevensherstelpunten die zijn opgeslagen in Azure Storage. Met Azure Backup kunnen back-ups worden gemaakt van schijven voor Azure-VM's en Azure Files (preview-versie). Azure Files bestandsshares in de cloud bieden, toegankelijk via Server Message Block (SMB).

U kunt Azure Backup gebruiken om een back-up te maken van VM's op de volgende manieren:

  • Maak rechtstreeks vanuit de VM-instellingen een back-up. U kunt met Azure Backup rechtstreeks vanuit de VM-opties in Azure Portal een back-up maken van VM's. U kunt één keer per dag een back-up van de VIRTUELE machine maken en u kunt de VM-schijf zo nodig herstellen. Azure Backup maakt toepassingsbewuste gegevensmomentopnamen en er is geen agent geïnstalleerd op de VIRTUELE machine.
  • Maak rechtstreeks een back-up in een Recovery Services kluis. U kunt een back-up maken van uw IaaS-VM's door een Azure Backup Recovery Services-kluis te implementeren. Het biedt één locatie voor het bijhouden en beheren van back-ups, evenals gedetailleerde back-up- en herstelopties. Back-up is maximaal drie keer per dag, op het niveau van bestanden en mappen. Het is niet toepassingsbewust en Linux wordt niet ondersteund. Installeer de MARS-agent (Microsoft Azure Recovery Services) op elke VM waarvoor u een back-up wilt maken met behulp van deze methode.
  • Beveilig de VM met Azure Backup Server. Azure Backup Server wordt gratis geleverd bij Azure Backup. Er wordt in de lokale Azure Backup Server-opslag een back-up gemaakt van de VM. Vervolgens maakt u een back-up van de instantie van Azure Backup Server in Azure in een kluis. Back-up is toepassingsbewust, met volledige granulariteit ten opzichte van back-upfrequentie en retentie. U kunt een back-up maken op toepassingsniveau, bijvoorbeeld door een back-up te maken van SQL Server of SharePoint.

Voor beveiliging versleutelt Azure Backup gegevens in-flight met behulp van AES-256. Het verzendt deze via HTTPS naar Azure. Back-up van data-at-rest in Azure wordt versleuteld met behulp van Azure Storage-versleuteling.

Schermopname van Azure Backup.

Afbeelding 10: Azure Backup.

Meer informatie:

Momentopnamen van opslag

Azure VM's worden in Azure Storage opgeslagen als pagina-blobs. Met momentopnamen wordt de blobstatus op een specifiek moment vastgelegd. Als alternatieve back-upmethode voor schijven van Azure VM's kunt u een momentopname van opslagblobs maken en deze naar een ander opslagaccount kopiëren.

U kunt een hele blob kopiëren of een incrementele momentopnamekopie gebruiken om alleen deltawijzigingen te kopiëren en de opslagruimte te verminderen. Als extra voorzorgsmaatregel kunt u voorlopig verwijderen inschakelen voor Blob Storage-accounts. Als deze functie is ingeschakeld, wordt een verwijderde blob gemarkeerd voor verwijdering, maar niet onmiddellijk opgeschoond. Tijdens de tussentijdse periode kunt u de blob herstellen.

Meer informatie:

Back-up van derden

Daarnaast kunt u oplossingen van derden gebruiken om in de lokale opslag of andere cloudproviders back-ups te maken van Azure VM's en opslagcontainers. Zie back-upoplossingen in Azure Marketplace voor meer informatie.

Herstel na noodgevallen instellen voor IaaS-toepassingen

Naast het beveiligen van gegevens moet BCDR-planning overwegen hoe u toepassingen en workloads beschikbaar moet houden als er zich een noodgeval voordoet. Houd rekening met de oplossingen in de volgende secties voor workloads die worden uitgevoerd op Azure IaaS-VM's en Azure Storage.

Azure Site Recovery

Azure Site Recovery is de primaire Azure-service om ervoor te zorgen dat Virtuele Azure-machines online kunnen worden gebracht en VM-toepassingen beschikbaar kunnen worden gesteld wanneer er storingen optreden.

Site Recovery vm's repliceert van een primaire naar een secundaire Azure-regio. Als zich een noodgeval voordoet, start u een failover vanuit de primaire regio en gaat u verder met het openen ervan als normaal in de secundaire regio. Wanneer alles weer in de normale staat is hersteld, kunt u een failback uitvoeren naar de primaire regio.

Diagram van Azure Site Recovery.

Afbeelding 11: Site Recovery.

Meer informatie:

Aanbevolen procedure: Beheerde schijven en beschikbaarheidssets gebruiken

Azure gebruikt beschikbaarheidssets om VM's logisch te groeperen en VM's in een set te isoleren van andere resources. VM's in een beschikbaarheidsset worden verspreid over meerdere foutdomeinen met afzonderlijke subsystemen, die bescherming bieden tegen lokale fouten. De VM's worden ook verspreid over meerdere updatedomeinen, waardoor alle VM's in de set niet tegelijkertijd opnieuw kunnen worden opgestart.

Met Azure beheerde schijven vereenvoudigt u schijfbeheer voor Azure Virtual Machines door de opslagaccounts te beheren die zijn gekoppeld aan de VM-schijven.

  • Gebruik waar mogelijk beheerde schijven. U hoeft alleen het type opslag op te geven dat u wilt gebruiken en de grootte van de schijf die u nodig hebt, en Azure maakt en beheert de schijf voor u.

  • U kunt bestaande schijven converteren naar beheerde schijven.

  • U kunt het beste VM's in beschikbaarheidssets maken zodat u over meer flexibiliteit en een hoge beschikbaarheid beschikt. Wanneer geplande of niet-geplande storingen optreden, zorgen beschikbaarheidssets ervoor dat ten minste één VIRTUELE machine in de set beschikbaar blijft.

    Diagram van beheerde schijven.

    Afbeelding 12: Beheerde schijven.

Meer informatie:

Aanbevolen procedure: Resourcegebruik en -prestaties bewaken

Mogelijk hebt u de workloads naar Azure verplaatst vanwege de enorme schaalmogelijkheden. Maar het verplaatsen van uw workload betekent niet dat Azure automatisch schaalaanpassing implementeert zonder uw invoer. Hier volgen twee voorbeelden:

  • Als uw marketingorganisatie een nieuwe televisieadvertentie pusht die 300 procent meer verkeer aanstuurt, kan uw site beschikbaarheidsproblemen ondervinden. Uw zojuist gemigreerde workload kan de toegewezen limieten bereiken en vastlopen.
  • Als er sprake is van een DDoS-aanval (Distributed Denial of Service) op uw gemigreerde workload, wilt u in dit geval niet schalen. U wilt voorkomen dat de bron van de aanvallen uw resources bereikt.

Deze twee gevallen hebben verschillende oplossingen, maar voor beide hebt u inzicht nodig in wat er gebeurt met gebruiks- en prestatiebewaking.

  • Azure Monitor kan helpen deze metrische gegevens weer te geven en te reageren met waarschuwingen, automatisch schalen, Event Hubs en Logic Apps.

  • U kunt uw SIEM-toepassing van derden ook integreren om de Azure-logboeken te bewaken voor controle- en prestatiegebeurtenissen.

    Schermopname van Azure Monitor.

    Afbeelding 13: Azure Monitor.

Meer informatie:

Aanbevolen procedure: diagnostische logboekregistratie inschakelen

Azure-resources genereren een behoorlijk aantal metrische gegevens voor de logboekregistratie en telemetriegegevens. Standaard is registratie in het diagnoselogboek voor de meeste resourcetypen niet ingeschakeld. Door registratie in het diagnoselogboek in te schakelen voor uw resources kunt u logboekregistratiegegevens opvragen en op basis hiervan waarschuwingen en playbooks maken.

Wanneer u registratie in het diagnoselogboek inschakelt, kunt u voor elke resource kiezen uit een aantal specifieke categorieën. U selecteert een of meer logboekregistratiecategorieën en een locatie voor de logboekgegevens. Logboeken kunnen worden verzonden naar een opslagaccount, event hub of naar Azure Monitor-logboeken.

Schermopname van diagnostische logboekregistratie.

Afbeelding 14: Diagnostische logboekregistratie.

Meer informatie:

Aanbevolen procedure: waarschuwingen en playbooks instellen

Als diagnostische logboekregistratie is ingeschakeld voor Azure-resources, kunt u logboekregistratiegegevens gebruiken om aangepaste waarschuwingen te maken.

  • Met waarschuwingen wordt u proactief op de hoogte gesteld wanneer aan bepaalde voorwaarden wordt voldaan in uw controlegegevens. U kunt vervolgens de problemen oplossen voordat gebruikers deze opmerken. U kunt waarschuwingen instellen voor metrische waarden, logboekzoekquery's, gebeurtenissen in activiteitenlogboeken, platformstatus en beschikbaarheid van websites.

  • Wanneer waarschuwingen worden geactiveerd, kunt u een playbook voor logische apps uitvoeren. Met een playbook kunt u een reactie op een specifieke waarschuwing automatiseren en coördineren. Playbooks zijn gebaseerd op Azure Logic Apps. U kunt sjablonen voor logische apps gebruiken om playbooks te maken of uw eigen sjablonen te maken.

  • Als voorbeeld kunt u een waarschuwing maken die wordt geactiveerd wanneer een poortscan plaatsvindt op basis van een NSG. U kunt een playbook instellen die wordt uitgevoerd en die het IP-adres van de scanoorsprong blokkeert.

  • Een ander voorbeeld is een toepassing met een geheugenlek. Wanneer het geheugengebruik een bepaald punt bereikt, kan een playbook het proces recyclen.

    Schermopname van waarschuwingen.

    Afbeelding 15: Waarschuwingen.

Meer informatie:

Aanbevolen procedure: Het Azure-dashboard gebruiken

Azure Portal is een webgebaseerde, geïntegreerde console waarmee u alles kunt ontwikkelen, beheren en bewaken: van eenvoudige web-apps tot complexe cloudtoepassingen. De portal bevat aanpasbare dashboards en toegankelijkheidsopties.

  • U kunt meerdere dashboards maken en deze delen met anderen die toegang hebben tot uw Azure-abonnementen.

  • Met dit gedeelde model heeft uw team inzicht in de Azure-omgeving, waarmee ze proactief kunnen zijn bij het beheren van systemen in de cloud.

    Schermopname van een Azure-dashboard.

    Afbeelding 16: Azure-dashboard.

Meer informatie:

Best practice: Ondersteuningsplannen begrijpen

Op een bepaald moment moet u samenwerken met uw ondersteuningsmedewerkers of microsoft-ondersteuningsmedewerkers. Het is van essentieel belang dat u beleid en procedures instelt voor ondersteuning tijdens scenario's zoals herstel na noodgevallen. Daarnaast moeten uw beheerders en ondersteuningsmedewerkers worden getraind om het beleid te implementeren.

  • In het onwaarschijnlijke geval dat een Azure-serviceprobleem gevolgen heeft voor uw workload, moeten beheerders weten hoe ze juist en efficiënt een ondersteuningsticket kunnen verzenden naar Microsoft.

  • Neem de verschillende ondersteuningsabonnementen voor Azure door. Ze variëren van reactietijden die zijn toegewezen aan ontwikkelaarsexemplaren, tot premier-ondersteuning met een reactietijd van minder dan 15 minuten.

    Schermopname van ondersteuningsplannen.

    Afbeelding 17: Ondersteuningsplannen.

Meer informatie:

Aanbevolen procedure: Updates beheren

Het up-to-date houden van Azure-VM's met betrekking tot het nieuwste besturingssysteem en software-updates is een enorme klus. De mogelijkheid om alle VM's weer te geven, te bepalen welke updates ze nodig hebben en deze updates automatisch te pushen, is waardevol.

  • U kunt Updatebeheer in Azure Automation gebruiken om updates van het besturingssysteem te beheren. Deze procedure is van toepassing op computers waarop Windows- en Linux-computers worden uitgevoerd die zijn geïmplementeerd in Azure, on-premises en in andere cloudproviders.

  • Gebruik Updatebeheer om snel de status van de beschikbare updates op alle agentcomputers te bekijken en de installatie van updates te beheren.

  • U kunt Updatebeheer voor VM's rechtstreeks vanuit uw Azure Automation-account inschakelen. U kunt ook één VM bijwerken op de pagina met VM's in Azure Portal.

  • Daarnaast kunt u Azure-VM's registreren bij System Center Configuration Manager. Vervolgens kunt u de Configuration Manager workload migreren naar Azure en rapportage- en software-updates uitvoeren vanuit één webinterface.

    Diagram van VM-updates.

    Afbeelding 18: VM-updates.

Meer informatie:

Een wijzigingsbeheerproces implementeren

Net als bij elk productiesysteem kan elk type wijziging invloed hebben op uw omgeving. U kunt een wijzigingsbeheerproces gebruiken waarvoor aanvragen moeten worden ingediend om wijzigingen aan te brengen in productiesystemen in uw gemigreerde omgeving.

  • U kunt best practice-frameworks bouwen voor wijzigingsbeheer om beheerders en ondersteuningsmedewerkers bewust te maken.
  • U kunt Azure Automation gebruiken ter ondersteuning van het configuratiebeheer en het bijhouden van wijzigingen voor uw gemigreerde werkstromen.
  • Wanneer u wijzigingsbeheerproces afdwingt, kunt u auditlogboeken gebruiken om Azure-wijzigingslogboeken te koppelen aan bestaande wijzigingsaanvragen. Als u een wijziging ziet die is aangebracht zonder een bijbehorende wijzigingsaanvraag, kunt u onderzoeken wat er in het proces is misgegaan.

Azure heeft een oplossing voor het bijhouden van wijzigingen in Azure Automation:

  • De oplossing houdt wijzigingen bij in Windows- en Linux-software en -bestanden, Windows-registersleutels, Windows-services en Linux-daemon.

  • Wijzigingen op bewaakte servers worden verzonden naar Azure Monitor voor verwerking.

  • Logica wordt toegepast op de ontvangen gegevens en de cloudservice registreert de gegevens.

  • Op het dashboard voor wijzigingen bijhouden kunt u eenvoudig de wijzigingen zien die zijn aangebracht in uw serverinfrastructuur.

    Schermopname van een wijzigingsbeheergrafiek.

    Afbeelding 19: Een wijzigingsbeheergrafiek.

Meer informatie:

Volgende stappen

Bekijk andere best practices: