Resourcevergrendelingen gebruiken om resources te beveiligen

  • 7 minuten

In een recente gesprek heeft uw manager aangegeven dat er al meerdere keren per ongeluk kritieke Azure-resources zijn verwijderd. Omdat er sprake was van een disorganisatie in hun Azure-omgeving, hebben goede bedoelingen om onnodige resources op te schonen, geleid tot onbedoelde verwijderingen van resources die essentieel zijn voor andere systemen. U hebt anderen weleens horen praten over resourcevergrendelingen voor Azure. U vertelt de manager dat u dit soort incidenten in de toekomst waarschijnlijk kunt voorkomen. Laten we eens kijken hoe u resourcevergrendelingen kunt gebruiken kan om dit probleem te verhelpen.

Wat zijn resourcevergrendelingen?

Resourcevergrendelingen zijn een instelling die u kunt toepassen op elke resource om wijziging of verwijdering te blokkeren. U kunt resourcevergrendelingen instellen op Verwijderen of Alleen-lezen. Verwijderen staat alle bewerkingen voor de resource toe, maar blokkeert de mogelijkheid om deze te verwijderen. Als Alleen-lezen is ingesteld, kan een resource alleen worden gelezen. De resource kan niet worden bewerkt of verwijderd. U kunt resourcevergrendelingen toepassen op abonnementen, resourcegroepen en afzonderlijke resources. Resourcevergrendelingen worden overgenomen wanneer ze op hogere niveaus worden toegepast.

Notitie

Het toepassen van alleen-lezen kan leiden tot onverwachte resultaten, omdat sommige bewerkingen die lijken alsof leesbewerkingen daadwerkelijk extra acties vereisen. Als u bijvoorbeeld een alleen-lezenvergrendeling voor een opslagaccount instelt, kunnen de gebruikers de lijst met sleutels niet weergeven. De bewerking voor het weergeven van de lijst met sleutels wordt verwerkt via een POST-aanvraag, omdat de geretourneerde sleutels beschikbaar zijn voor schrijfbewerkingen.

Wanneer een resourcevergrendeling is toegepast, moet u eerst de vergrendeling verwijderen om die activiteit uit te voeren. Door een extra stap in te stellen voordat u de actie voor de resource toestaat, helpt het resources te beschermen tegen onbedoelde acties en helpt u uw beheerders te beschermen tegen iets wat ze mogelijk niet willen doen. De resourcevergrendelingen zijn altijd van toepassing, ongeacht de RBAC-machtigingen. Zelfs als u een resource-eigenaar bent, moet u de vergrendeling nog steeds verwijderen voordat u de geblokkeerde activiteit daadwerkelijk kunt uitvoeren.

Laten we eens kijken hoe resourcevergrendelingen in de praktijk werken.

Een resourcevergrendeling maken

Kunt u zich de resourcegroep msftlearn-core-infrastructure-rg nog herinneren? U hebt nu twee virtuele netwerken en een opslagaccount. U beschouwt deze resources als kritieke onderdelen van uw Azure-omgeving en wilt ervoor zorgen dat ze niet per ongeluk worden verwijderd. Pas een resourcevergrendeling toe op de resourcegroep om te voorkomen dat de resourcegroep en de resources erin worden verwijderd.

  1. Ga in een webbrowser naar Azure Portal, als u dit nog niet hebt gedaan. Zoek in het zoekvak in de bovenste navigatiebalk naar msftlearn-core-infrastructure-rg en selecteer de resourcegroep.

  2. Selecteer in het linkermenu, in de sectie Instellingen, de optie Vergrendelingen. U ziet dat de resource momenteel geen vergrendelingen heeft. U gaat er een toevoegen.

  3. Selecteer + Toevoegen. Noem de vergrendeling BlockDeletion en selecteer Verwijderen als het Type vergrendeling. Selecteer OK.

    Screenshot of Azure portal showing a new delete resource lock being configured.

    U hebt nu een vergrendeling toegepast op de resourcegroep die voorkomt dat de groep wordt verwijderd. De vergrendeling wordt overgenomen door alle resources in de resourcegroep. U gaat proberen een van de virtuele netwerken te verwijderen om te zien wat er gebeurt.

  4. Ga terug naar Overzicht en selecteer msftlearn-vnet1.

  5. Selecteer Verwijderen bovenaan het deelvenster Overzicht voor msftlearn-vnet1. Er wordt een foutbericht weergegeven waarin wordt aangegeven dat er een vergrendeling is voor de resource die het verwijderen voorkomt.

  6. Selecteer in het linkermenu, in de sectie Instellingen, de optie Vergrendelingen. De msftlearn-vnet1 heeft een vergrendeling die wordt overgenomen van de resourcegroep.

  7. Ga terug naar de resourcegroep msftlearn-core-infrastructure-rg en ga naar Vergrendelingen. U verwijdert de vergrendeling zodat u kunt opschonen. Selecteer Verwijderen in de vergrendeling BlockDeletion .

Resourcevergrendelingen in de praktijk gebruiken

U hebt gezien hoe resourcevergrendelingen kunnen worden gebruikt om te voorkomen dat een resource per ongeluk wordt verwijderd. U hebt de vergrendeling verwijderd om het virtuele netwerk te kunnen verwijderen. Deze afgestemde actie zorgt ervoor dat de desbetreffende resource alleen kan worden verwijderd of gewijzigd wanneer dit ook echt de bedoeling is.

Gebruik resourcevergrendelingen om belangrijke onderdelen van Azure te beveiligen die grote gevolgen kunnen hebben wanneer ze worden verwijderd of gewijzigd. Enkele voorbeelden zijn ExpressRoute-circuits, virtuele netwerken, essentiƫle databases en domeincontrollers. Evalueer uw resources en pas vergrendelingen toe waarbij u een extra beveiligingslaag wilt hebben tegen onbedoelde acties.

De resources opschonen

Laten we de resources opschonen die we hebben gemaakt. U moet de resourcegroep die u hebt gemaakt, verwijderen, evenals de beleidstoewijzing en de beleidsdefinitie.

  1. Ga naar Azure Portal in een webbrowser.

  2. Zoek in het zoekvak in de bovenste menubalk naar msftlearn-core-infrastructure-rg en selecteer de resourcegroep.

  3. Selecteer in het deelvenster Overzicht de optie Resourcegroep verwijderen. Voer de naam van de resourcegroep msftlearn-core-infrastructure-rg in om te bevestigen en selecteer vervolgens Verwijderen. Selecteer Verwijderen opnieuw om de verwijdering te bevestigen.

    Notitie

    Omdat u de toegewezen resources met de resourcegroep hebt verwijderd, zijn er geen toewijzingen meer in dit beleid. Als u normaal gesproken een beleid toewijst aan een resource, kunt u de toewijzing verwijderen zonder dat u hierbij de onderliggende resource hier hoeft te verwijderen. Hiervoor selecteert u Opdrachten, selecteert u het beletselteken (...) voor uw opdracht en selecteert u Toewijzing verwijderen.

  4. Zoek in het zoekvak naar Beleid en selecteer de beleidsservice .

  5. Selecteer Definities en zoek naar het beleid dat u hebt gemaakt: Tag afdwingen voor resource.

  6. Selecteer de ... definitie voor uw definitie en selecteer Definitie verwijderen. Selecteer Ja om de verwijdering te bevestigen.