Azure Policy è un servizio di Microsoft Azure che consente di creare, assegnare e gestire policy per controllare o verificare le risorse in Azure. Queste policy garantiscono che le risorse in Azure siano conformi alle regole e ai regolamenti, agli standard aziendali e agli accordi sul livello di servizio. Si possono applicare queste policy utilizzando i gruppi di gestione. Azure Policy valuta e monitora le proprie risorse per assicurarsi che siano conformi alle policy implementata. In questo articolo andremo a dare una panoramica generale del funzionamento del servizio e i benefici che può apportare alla postura di sicurezza del proprio business.
L’adozione del cloud computing sta diventando sempre più diffusa, ma la gestione e il controllo delle risorse cloud può rappresentare una ardua sfida per le organizzazioni.
L’esigenza comune è di standardizzare e, in alcuni casi, imporre come vengono configurate le risorse in ambiente cloud. Tutto questo viene fatto per ottenere ambienti che rispettano specifiche normative di conformità, controllare la sicurezza, i costi delle risorse ed uniformare il design delle differenti architetture.
Ottenere questo risultato però non è semplice, soprattutto in ambienti complessi come quelli di Azure, nei quali sulle subscription si sviluppano e operano diversi gruppi di operatori.
A questo proposito è consigliato utilizzare un meccanismo che viene fornito in modo nativo dalla piattaforma Azure, che consente di pilotare i processi di governance per ottenere il controllo desiderato, ma senza impattare sulla velocità, elemento fondamentale nell’IT moderno basato sulle risorse nel cloud: le Azure Policy.
Azure Policy è un servizio all'interno di Microsoft Azure che consente alle organizzazioni di creare, assegnare e gestire policy. Queste policy definiscono regole ed effetti su risorse, identità e gruppi, con l'obiettivo di garantire la conformità e mantenere la sicurezza. L'applicazione delle policy avviene in due modi: segnalando la non conformità affinché il team possa risolvere il problema oppure bloccando direttamente la distribuzione.
Nell’ambito della Cloud Technical Governance è fondamentale andare a definire e ad applicare delle regole che consentano di assicurarsi che le risorse Azure siano sempre conformi agli standard aziendali definiti. Grazie all’utilizzo delle Azure Policy, anche aumentando la complessità e la quantità di servizi, è sempre possibile garantire un controllo avanzato del proprio ambiente Azure.
Prima di approfondire Azure Policy, è importante comprendere cosa sia una policy di sicurezza, soprattutto nel contesto del cloud. Una policy di sicurezza nel cloud computing è un insieme di regole e linee guida che regolano la protezione dei sistemi e dei dati basati sul cloud.
Le policy di sicurezza sono una parte fondamentale di una solida gestione delle identità e degli accessi (IAM) nel cloud. Le policy IAM sono essenziali per proteggere i dati, limitando le identità che possono accedere ad applicazioni e risorse critiche.
A supporto di questo concetto, il Cloud Threat Landscape Report 2022 di IBM ha rilevato che, nel 99% dei casi di violazioni del cloud analizzati dai loro team, le identità disponevano di privilegi eccessivi.
Azure Policy applica configurazioni alle risorse per garantire il rispetto degli standard aziendali e di sicurezza. A differenza del controllo degli accessi in base ai ruoli di Azure (RBAC), che gestisce le azioni degli utenti (chi può accedere o modificare una risorsa), Azure Policy si concentra sullo stato delle risorse.
Per semplificare:
Questa differenza è fondamentale per i professionisti IT che gestiscono la governance del cloud su larga scala. Con Azure Policy, puoi garantire automaticamente che le risorse rispettino i requisiti di sicurezza, gli standard di gestione dei costi e le baseline operative.
Azure Policy si applica alle nuove risorse create e può verificare o correggere le risorse esistenti che non sono conformi. Ad esempio, se a una macchina virtuale mancano le impostazioni di diagnostica, Azure Policy può segnalarlo o risolvere il problema tramite attività di correzione. Questo lo rende uno strumento potente sia per prevenire configurazioni errate prima che si verifichino, sia per correggere quelle già esistenti.
Azure Policy funziona su più subscription Azure, resource group e ambienti ibridi tramite Azure Arc (una soluzione che consente di estendere i servizi e la gestione del cloud Azure a infrastrutture esterne), garantendo una governance coerente indipendentemente dalla scala. Che si tratti di gestire i carichi di lavoro di un singolo team o un'intera distribuzione aziendale, Azure Policy offre automazione, visibilità e controllo.
Vediamo nella tabella qui sotto una sintesi degli scope del servizio.
Il meccanismo di funzionamento delle Azure Policy è semplice.
Nel momento in cui viene fatta una richiesta di configurazione di una risorsa Azure tramite Azure Resource Manager (ARM), questa viene intercettata dal layer contenente il motore che effettua la valutazione delle policy. Tale engine effettua una valutazione sulla base delle policy Azure attive e stabilisce la legittimità della richiesta.
Lo stesso meccanismo viene poi ripetuto periodicamente oppure su specifica richiesta per valutare lo stato di compliance delle risorse esistenti.
In Azure sono già presenti molte policy built-in pronte per essere applicate oppure è possibile configurarle in base alle proprie esigenze. La definizione delle Azure Policy è fatta in JSON e segue una struttura ben precisa. Si ha inoltre la possibilità di creare delle Initiatives, che sono un insieme di più policy.
Nel momento in cui si possiede la definizione della policy desiderata, è possibile assegnarla a un Management Group, a una subscription ed eventualmente in modo più circoscritto ad un Resource Group specifico. Lo stesso vale per le Initiatives. Si ha inoltre la possibilità di escludere determinate risorse dall’applicazione della policy qualora necessario.
In seguito all’assegnazione, è possibile valutare lo stato di compliance nel dettaglio e se lo si ritiene necessario applicare delle azioni di remediation.
Abbiamo creato il team Infra&Security, verticale sul cloud Azure, per rispondere alle esigenze dei clienti che ci coinvolgono nelle decisioni tecniche e strategiche. Oltre a configurare e gestire il loro tenant, ci occupiamo di:
Con Dev4Side, hai un partner affidabile in grado di supportarti sull'intero ecosistema applicativo di Microsoft.
Al cuore di Azure Policy ci sono due componenti principali: policy e iniziative.
Le policy in Azure sono le regole o linee guida specifiche, mentre le iniziative sono raccolte di policy che aiutano a raggiungere un obiettivo di conformità più ampio.
Vediamo qui sotto cosa va a comporre una policy un po’ più nello specifico.
Diamo adesso uno sguardo a quelli che sono gli step per la creazione e l'implementazione di una nuova policy:
Per i professionisti IT che gestiscono risorse cloud, la governance spesso sembra un equilibrio tra velocità e controllo.
Configurazioni errate, processi manuali e deviazioni nelle risorse possono rapidamente compromettere le operazioni, esponendo le organizzazioni a problemi di sicurezza, conformità e costi. Azure Policy affronta direttamente queste sfide automatizzando la governance e garantendo che le risorse siano sempre allineate ai requisiti aziendali e tecnici.
Integrando Azure Policy nella strategia di governance, i professionisti IT ottengono uno strumento affidabile per prevenire configurazioni errate, semplificare la reportistica sulla conformità e garantire l’eccellenza operativa. Che si tratti di gestire poche risorse o un’infrastruttura ibrida complessa, Azure Policy rende la governance sia pratica che scalabile.
Con Azure Policy, si può passare da un approccio reattivo a un controllo proattivo, consentendo all'automazione di far rispettare gli standard e liberando tempo per l'innovazione.
Ecco perché chi lavora nell’ambito IT dovrebbero prenderlo in considerazione:
Ora che sappiamo come funziona il servizio e cosa può fare per noi è arrivato il momento di capire come utilizzare al meglio le funzionalità di Azure Policy.
Di fatto, la sua semplicità d’utilizzo non deve trarre in inganno.
Se è vero che imparare le basi è estremamente facile è altrettanto vero che senza l’implementazione di pratiche adeguate la situazione può facilmente degenerare in scenari complicati o ingestibili che, oltre a far perdere tempo prezioso rischiano anche di mettere a repentaglio la nostra postura di sicurezza.
Vediamo alcuni esempi per capire come utilizzare al meglio Azure Policy.
Era naturale che l’evoluzione delle infrastrutture digitali verso il cloud avrebbe portato a dei cambiamenti nel modo in cui un’organizzazione deve mettere al sicuro le proprie risorse e garantire che non vengano adocchiate da personale non autorizzato o agenti malevoli.
Ma questo cambiamento non deve significare maggiore complessità, ed Azure Policy è uno strumento essenziale per i professionisti IT che desiderano semplificare la governance, ridurre i rischi e garantire una conformità costante negli ambienti cloud e ibridi.
Combinando applicazione proattiva, correzione automatizzata e monitoraggio continuo, Azure Policy trasforma la governance in un processo fluido e automatizzato.
Con il supporto per risorse native di Azure, carichi di lavoro on-premise e implementazioni multi-cloud tramite Azure Arc, Azure Policy offre un framework unificato per gestire l'intero panorama IT. Che si tratti di applicare baseline di sicurezza, gestire i costi delle risorse o soddisfare i requisiti di conformità, il servizio fornisce la visibilità e il controllo necessari per operare con sicurezza su larga scala.
Con Azure Policy, i professionisti IT possono smettere di rincorrere configurazioni errate e concentrarsi su ciò che conta di più: creare soluzioni cloud sicure, efficienti e conformi che favoriscano il successo della loro azienda, e niente più.
Azure Policy è un servizio incluso nella piattaforma Microsoft Azure che permette di definire, assegnare e gestire policy per garantire che le risorse rispettino requisiti di sicurezza, standard aziendali e normative. A differenza dei sistemi che si limitano a controllare le autorizzazioni degli utenti, Azure Policy si concentra direttamente sullo stato e sulla configurazione delle risorse, assicurando che siano sempre in linea con le aspettative e le regole aziendali.
La differenza principale è che RBAC determina chi può effettuare determinate azioni su una risorsa, come ad esempio creare o modificare uno storage account, mentre Azure Policy si occupa di verificare che quella risorsa sia configurata correttamente secondo criteri aziendali, ad esempio assicurandosi che lo storage account sia crittografato o etichettato. In sintesi, RBAC gestisce le autorizzazioni degli utenti, mentre Azure Policy governa lo stato delle risorse.
Ogni volta che una risorsa viene creata o modificata, Azure Policy valuta la richiesta attraverso il motore di Azure Resource Manager. Se le policy definite sono violate, il sistema può bloccare l’azione, segnalarla oppure intervenire con una correzione automatica. Oltre a questa verifica immediata, Azure Policy esegue valutazioni periodiche per controllare che anche le risorse esistenti siano conformi alle regole, permettendo un controllo continuo e approfondito dell’ambiente Azure.
Le policy possono essere applicate a vari livelli gerarchici. È possibile utilizzarle sui Management Groups per definire regole valide su più subscription, sulle singole subscription per influenzare tutte le risorse contenute, sui Resource Group per agire su insiemi specifici di risorse o persino su risorse individuali, per ottenere un controllo più granulare. Questa flessibilità consente di adattare l’applicazione delle policy a ogni esigenza di governance, dal livello aziendale fino al singolo progetto.
Una policy è composta da una definizione, che specifica cosa valutare e cosa fare nel caso in cui la regola venga violata, da un effetto, che rappresenta l’azione vera e propria da intraprendere (come negare la creazione o segnalare un’anomalia), da eventuali parametri, che rendono la policy più flessibile e riutilizzabile in contesti diversi, e infine da un’assegnazione, che indica l’ambito a cui la policy si applica. In alternativa alle singole policy, è possibile utilizzare iniziative, cioè collezioni di policy con un obiettivo comune di conformità.
Un’iniziativa è un insieme di policy raggruppate per affrontare in modo coordinato obiettivi di governance più ampi. Permette di applicare contemporaneamente più regole su uno stesso ambito, ad esempio tutte le policy necessarie per garantire la sicurezza di un ambiente cloud. Questo approccio semplifica la gestione e consente una maggiore coerenza nel tempo.
Sì, Azure Policy consente non solo di rilevare le non conformità, ma anche di intervenire per correggerle. Le azioni di remediation possono essere automatiche o programmate e permettono, ad esempio, di applicare configurazioni mancanti o ripristinare impostazioni corrette. In questo modo, le policy non si limitano a segnalare i problemi, ma aiutano anche a risolverli in modo proattivo.
Per i professionisti IT, Azure Policy rappresenta un alleato fondamentale nella gestione della governance cloud. Consente di prevenire configurazioni errate, automatizzare i controlli di conformità, ridurre il rischio di violazioni di sicurezza o sprechi di risorse, e semplificare la reportistica necessaria per il monitoraggio continuo. Tutto questo avviene mantenendo la velocità operativa richiesta dai moderni ambienti cloud, senza compromettere la sicurezza o l’efficienza.
Sì, Azure mette a disposizione un’ampia raccolta di policy predefinite pronte all’uso che coprono scenari comuni come la protezione dei dati, la gestione dei costi e la conformità. È anche possibile definire policy personalizzate in formato JSON per soddisfare esigenze più specifiche. Inoltre, le policy predefinite possono essere combinate in iniziative per una gestione più strutturata.
Per utilizzare al meglio Azure Policy, è consigliabile iniziare con effetti di audit per comprendere l’impatto delle policy senza imporre subito restrizioni. È importante definire chiaramente la gerarchia organizzativa per assegnare le policy agli ambiti corretti, sfruttare i parametri per renderle più flessibili e utilizzare le iniziative per gestire più policy in modo unificato. Infine, è fondamentale rivedere regolarmente le policy per mantenerle aggiornate rispetto ai cambiamenti aziendali e normativi.
Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).