Azure Policy: come controllare le proprie risorse in Azure

Azure Policy è un servizio di Microsoft Azure che consente di creare, assegnare e gestire policy per controllare o verificare le risorse in Azure. Queste policy garantiscono che le risorse in Azure siano conformi alle regole e ai regolamenti, agli standard aziendali e agli accordi sul livello di servizio. Si possono applicare queste policy utilizzando i gruppi di gestione. Azure Policy valuta e monitora le proprie risorse per assicurarsi che siano conformi alle policy implementata. In questo articolo andremo a dare una panoramica generale del funzionamento del servizio e i benefici che può apportare alla postura di sicurezza del proprio business.

Cosa troverai in questo articolo

  • Azure Policy: una breve introduzione
  • Che cos’è Azure Policy e come funziona
  • Azure Policy: che cosa compone una policy, e come si implementa?
  • Azure Policy: benefici per i professionisti IT
  • Azure Policy: consigli per l’implementazione delle policy
Azure Policy: come controllare le proprie risorse in Azure

Azure Policy: una breve introduzione

L’adozione del cloud computing sta diventando sempre più diffusa, ma la gestione e il controllo delle risorse cloud può rappresentare una ardua sfida per le organizzazioni.

L’esigenza comune è di standardizzare e, in alcuni casi, imporre come vengono configurate le risorse in ambiente cloud. Tutto questo viene fatto per ottenere ambienti che rispettano specifiche normative di conformità, controllare la sicurezza, i costi delle risorse ed uniformare il design delle differenti architetture.

Ottenere questo risultato però non è semplice, soprattutto in ambienti complessi come quelli di Azure, nei quali sulle subscription si sviluppano e operano diversi gruppi di operatori.

A questo proposito è consigliato utilizzare un meccanismo che viene fornito in modo nativo dalla piattaforma Azure, che consente di pilotare i processi di governance per ottenere il controllo desiderato, ma senza impattare sulla velocità, elemento fondamentale nell’IT moderno basato sulle risorse nel cloud: le Azure Policy.

Azure Policy è un servizio all'interno di Microsoft Azure che consente alle organizzazioni di creare, assegnare e gestire policy. Queste policy definiscono regole ed effetti su risorse, identità e gruppi, con l'obiettivo di garantire la conformità e mantenere la sicurezza. L'applicazione delle policy avviene in due modi: segnalando la non conformità affinché il team possa risolvere il problema oppure bloccando direttamente la distribuzione.

Nell’ambito della Cloud Technical Governance è fondamentale andare a definire e ad applicare delle regole che consentano di assicurarsi che le risorse Azure siano sempre conformi agli standard aziendali definiti. Grazie all’utilizzo delle Azure Policy, anche aumentando la complessità e la quantità di servizi, è sempre possibile garantire un controllo avanzato del proprio ambiente Azure.

Che cos’è Azure Policy e come funziona

Prima di approfondire Azure Policy, è importante comprendere cosa sia una policy di sicurezza, soprattutto nel contesto del cloud. Una policy di sicurezza nel cloud computing è un insieme di regole e linee guida che regolano la protezione dei sistemi e dei dati basati sul cloud.

Le policy di sicurezza sono una parte fondamentale di una solida gestione delle identità e degli accessi (IAM) nel cloud. Le policy IAM sono essenziali per proteggere i dati, limitando le identità che possono accedere ad applicazioni e risorse critiche.

A supporto di questo concetto, il Cloud Threat Landscape Report 2022 di IBM ha rilevato che, nel 99% dei casi di violazioni del cloud analizzati dai loro team, le identità disponevano di privilegi eccessivi.

Azure Policy applica configurazioni alle risorse per garantire il rispetto degli standard aziendali e di sicurezza. A differenza del controllo degli accessi in base ai ruoli di Azure (RBAC), che gestisce le azioni degli utenti (chi può accedere o modificare una risorsa), Azure Policy si concentra sullo stato delle risorse.

Per semplificare:

  • RBAC determina chi può creare uno storage account.
  • Azure Policy garantisce che l'account di archiviazione sia crittografato, etichettato e configurato in base ai requisiti organizzativi.

Questa differenza è fondamentale per i professionisti IT che gestiscono la governance del cloud su larga scala. Con Azure Policy, puoi garantire automaticamente che le risorse rispettino i requisiti di sicurezza, gli standard di gestione dei costi e le baseline operative.

Azure Policy si applica alle nuove risorse create e può verificare o correggere le risorse esistenti che non sono conformi. Ad esempio, se a una macchina virtuale mancano le impostazioni di diagnostica, Azure Policy può segnalarlo o risolvere il problema tramite attività di correzione. Questo lo rende uno strumento potente sia per prevenire configurazioni errate prima che si verifichino, sia per correggere quelle già esistenti.

Azure Policy funziona su più subscription Azure, resource group e ambienti ibridi tramite Azure Arc (una soluzione che consente di estendere i servizi e la gestione del cloud Azure a infrastrutture esterne), garantendo una governance coerente indipendentemente dalla scala. Che si tratti di gestire i carichi di lavoro di un singolo team o un'intera distribuzione aziendale, Azure Policy offre automazione, visibilità e controllo.

Policy di Azure nell'ambito dell'analisi dati su larga scala nel cloud

Vediamo nella tabella qui sotto una sintesi degli scope del servizio.

Scope di applicazione delle policy in Azure

Scope Descrizione
Management Groups Offrono un livello di organizzazione superiore che consente di applicare policy e controllare l’accesso su più sottoscrizioni contemporaneamente. Sono particolarmente utili per le aziende con ambienti complessi, poiché permettono di centralizzare la gestione delle policy e garantire una conformità coerente su larga scala. Agiscono come linee guida di sicurezza generali e possono contenere più sottoscrizioni al loro interno.
Subscription Una sottoscrizione Azure rappresenta un’unità di gestione per l'allocazione delle risorse e la fatturazione. Le policy applicate a livello di sottoscrizione influenzano automaticamente tutte le risorse e i gruppi di risorse all'interno di essa. Questo livello di applicazione è utile per garantire la conformità a livello aziendale e per stabilire regole generali valide per tutte le risorse della sottoscrizione.
Resource Groups Un gruppo di risorse è un contenitore logico per le risorse di Azure, come macchine virtuali, database e reti. Applicare policy a livello di gruppo di risorse consente di controllare configurazioni e conformità per tutte le risorse contenute all'interno del gruppo, garantendo un approccio organizzato e gestibile alla governance delle risorse. Questo livello è utile per applicare policy a team o progetti specifici.
Risorse individuali Le policy possono essere applicate anche a singole risorse, offrendo un controllo dettagliato e granulare su configurazioni e accesso. Questo livello è particolarmente utile quando si devono gestire eccezioni o applicare regole specifiche a una risorsa senza impattare l'intero gruppo o sottoscrizione. Consente una gestione precisa e personalizzata delle policy per scenari particolari.

Il meccanismo di funzionamento delle Azure Policy è semplice. 

Nel momento in cui viene fatta una richiesta di configurazione di una risorsa Azure tramite Azure Resource Manager (ARM), questa viene intercettata dal layer contenente il motore che effettua la valutazione delle policy. Tale engine effettua una valutazione sulla base delle policy Azure attive e stabilisce la legittimità della richiesta.

Lo stesso meccanismo viene poi ripetuto periodicamente oppure su specifica richiesta per valutare lo stato di compliance delle risorse esistenti.

In Azure sono già presenti molte policy built-in pronte per essere applicate oppure è possibile configurarle in base alle proprie esigenze. La definizione delle Azure Policy è fatta in JSON e segue una struttura ben precisa. Si ha inoltre la possibilità di creare delle Initiatives, che sono un insieme di più policy.

Nel momento in cui si possiede la definizione della policy desiderata, è possibile assegnarla a un Management Group, a una subscription ed eventualmente in modo più circoscritto ad un Resource Group specifico. Lo stesso vale per le Initiatives. Si ha inoltre la possibilità di escludere determinate risorse dall’applicazione della policy qualora necessario.

In seguito all’assegnazione, è possibile valutare lo stato di compliance nel dettaglio e se lo si ritiene necessario applicare delle azioni di remediation.

Sai che aiutiamo i nostri clienti nella gestione dei loro tenant Azure?

Abbiamo creato il team Infra&Security, verticale sul cloud Azure, per rispondere alle esigenze dei clienti che ci coinvolgono nelle decisioni tecniche e strategiche. Oltre a configurare e gestire il loro tenant, ci occupiamo di:

  • ottimizzare i costi delle risorse
  • implementare procedure di scaling e high availability
  • creare deployment applicativi tramite le pipeline di DevOps
  • monitoring
  • e soprattutto security!

Con Dev4Side, hai un partner affidabile in grado di supportarti sull'intero ecosistema applicativo di Microsoft.

Azure Policy: che cosa compone una policy, e come si implementa?

Al cuore di Azure Policy ci sono due componenti principali: policy e iniziative.

Le policy in Azure sono le regole o linee guida specifiche, mentre le iniziative sono raccolte di policy che aiutano a raggiungere un obiettivo di conformità più ampio.

Vediamo qui sotto cosa va a comporre una policy un po’ più nello specifico.

Componenti delle policy in Azure

Componente Descrizione
Definizione della policy Una definizione di policy esprime cosa valutare e quale azione intraprendere. Ogni definizione di policy in Azure Policy ha un insieme di condizioni sotto le quali viene applicata e un effetto corrispondente che si verifica se le condizioni sono soddisfatte.
Effetti della policy Definiscono cosa accade quando le condizioni della policy sono soddisfatte. Alcuni effetti comuni includono: Deny, Audit, AuditIfNotExists, Modify, Append, Disabled e DeployIfNotExists.
Parametri della policy I parametri forniscono flessibilità e riducono la ridondanza nelle definizioni di policy. Permettono di riutilizzare la stessa definizione in scenari diversi, come campi di un modulo da compilare (es. nome, città, data di nascita, indirizzo, ecc.). Rimangono invariati, ma i valori possono cambiare.
Assegnazioni della policy Le assegnazioni rappresentano l'applicazione di una policy o di un'iniziativa a un ambito specifico (ad esempio, una sottoscrizione o un gruppo di gestione).

Passaggi per implementare una policy in Azure

Diamo adesso uno sguardo a quelli che sono gli step per la creazione e l'implementazione di una nuova policy:

  • Creare la definizione di Policy: il primo passo nella gestione delle policy in Azure consiste nella creazione di una definizione di policy. Questa definizione stabilisce regole e condizioni che le risorse devono rispettare per essere conformi. Può trattarsi di una policy personalizzata, creata in base alle esigenze specifiche dell’organizzazione, oppure di una delle definizioni predefinite offerte da Microsoft, che coprono scenari comuni come la gestione della sicurezza, il controllo dei costi e la conformità normativa. Una volta creata, la policy definisce i criteri di valutazione e le azioni da intraprendere nel caso in cui le risorse non siano conformi.
  • Creare una definizione di Iniziativa: come accennavamo in precedenza, un'iniziativa in Azure Policy è un insieme di più policy raggruppate con l’obiettivo di affrontare esigenze di governance più ampie. Invece di applicare policy individuali una per una, le iniziative permettono di consolidarle e gestirle in modo più efficiente. Ad esempio, un’iniziativa potrebbe contenere policy relative alla sicurezza, alla conformità ai criteri aziendali o alla gestione dell'ambiente cloud. Come per le policy, anche le iniziative possono essere personalizzate o basarsi su quelle predefinite di Microsoft.
  • Definire lo scope dell'Iniziativa: dopo aver creato un'iniziativa, è necessario definirne l’ambito, ovvero determinare dove verrà applicata. L’ambito può essere un gruppo di gestione (che influenza più sottoscrizioni), una sottoscrizione specifica (che riguarda tutte le risorse al suo interno) o un gruppo di risorse (che applica le policy solo a un insieme definito di risorse). La scelta dell’ambito è fondamentale per garantire un'applicazione efficace delle policy e un controllo adeguato sulla conformità delle risorse.
  • Determinare la conformità: una volta implementate le policy e le iniziative desiderate, è essenziale monitorare e valutare lo stato di conformità delle risorse. Azure Policy fornisce strumenti per analizzare se le risorse rispettano i criteri definiti e per identificare eventuali violazioni. Questo processo aiuta a mantenere un ambiente conforme alle normative aziendali e di settore, riducendo il rischio di configurazioni errate o vulnerabilità di sicurezza. Se vengono rilevate non conformità, è possibile adottare azioni correttive come la modifica automatica delle configurazioni o l'applicazione di restrizioni.
Diagramma inerente alla creazione di una policy in Azure

Azure Policy: benefici per i professionisti IT

Per i professionisti IT che gestiscono risorse cloud, la governance spesso sembra un equilibrio tra velocità e controllo.

Configurazioni errate, processi manuali e deviazioni nelle risorse possono rapidamente compromettere le operazioni, esponendo le organizzazioni a problemi di sicurezza, conformità e costi. Azure Policy affronta direttamente queste sfide automatizzando la governance e garantendo che le risorse siano sempre allineate ai requisiti aziendali e tecnici.

Integrando Azure Policy nella strategia di governance, i professionisti IT ottengono uno strumento affidabile per prevenire configurazioni errate, semplificare la reportistica sulla conformità e garantire l’eccellenza operativa. Che si tratti di gestire poche risorse o un’infrastruttura ibrida complessa, Azure Policy rende la governance sia pratica che scalabile.

Con Azure Policy, si può passare da un approccio reattivo a un controllo proattivo, consentendo all'automazione di far rispettare gli standard e liberando tempo per l'innovazione.

Ecco perché chi lavora nell’ambito IT dovrebbero prenderlo in considerazione:

  • Applicazione delle regole e della conformità: Azure Policy consente di far rispettare le regole e i requisiti di conformità sulle risorse in Azure. Le policy possono essere valutate in tempo reale, rendendo possibile testarle prima di applicarle. Inoltre, puoi modificare le policy periodicamente o su richiesta, garantendo maggiore flessibilità nella governance e nella conformità.
  • Applicazione delle policy su larga scala: le policy possono essere applicate a un gruppo di gestione, fungendo da "ombrello" per tutte le sottoscrizioni e risorse dell’organizzazione. È possibile assegnare più policy, aggregare gli stati di conformità con le iniziative di policy e definire un ambito di esclusione, se necessario.
  • Esecuzione delle remediation: Azure Policy può essere utilizzato per correggere automaticamente le risorse, sia quelle appena create che quelle esistenti nel gruppo di gestione. Se una risorsa non è conforme alle policy, il servizio le contrassegna come tali e gli admin che utilizzano Azure Policy possono intervenire per ripristinarne la conformità con attività di remediation manuali o programmate.
  • Esercizio fluido e omnicomprensivo della governance: Azure Policy consente di implementare attività di governance nell’ambiente cloud. Ciò include l’assegnazione di policy a più team di ingegneria e la gestione di più sottoscrizioni. Inoltre, aiuta a standardizzare e applicare la configurazione delle risorse cloud in tutta l'organizzazione, garantendo conformità, controllo dei costi, sicurezza e coerenza del design all’interno dei gruppi di gestione.
Analisi della conformità delle policy Azure

Azure Policy: consigli per l’implementazione delle policy

Ora che sappiamo come funziona il servizio e cosa può fare per noi è arrivato il momento di capire come utilizzare al meglio le funzionalità di Azure Policy.

Di fatto, la sua semplicità d’utilizzo non deve trarre in inganno.

Se è vero che imparare le basi è estremamente facile è altrettanto vero che senza l’implementazione di pratiche adeguate la situazione può facilmente degenerare in scenari complicati o ingestibili che, oltre a far perdere tempo prezioso rischiano anche di mettere a repentaglio la nostra postura di sicurezza.

Vediamo alcuni esempi per capire come utilizzare al meglio Azure Policy.

  • Iniziare con le funzionalità Audit e AuditIfNotExists: il primo passo nell'implementazione delle policy dovrebbe essere l’utilizzo di Audit o AuditIfNotExists anziché imporre direttamente restrizioni. Questo approccio consente di monitorare e comprendere l'impatto delle modifiche che desideriamo effettuare senza influenzare le risorse esistenti. È un metodo utile per testare e valutare l’efficacia delle policy prima di applicare misure più restrittive, garantendo che non si verifichino interruzioni nei processi aziendali.
  • Considerare le gerarchie organizzative: per una governance efficace, le policy devono essere allineate alla struttura organizzativa dell’azienda. Ciò significa classificare e organizzare gruppi in base a ruoli, team o reparti e applicare policy specifiche a queste strutture. Un'organizzazione ben definita consente di assegnare policy in modo mirato, garantendo che ogni team o funzione aziendale operi nel rispetto delle regole senza ostacolare la produttività.
  • Utilizzare i parametri: come discusso in precedenza, l’uso dei parametri nelle policy offre maggiore flessibilità e riduce la necessità di creare definizioni separate per scenari simili. I parametri consentono di adattare una policy a diversi contesti senza modificarne la struttura, riducendo così il carico di lavoro manuale per il team di gestione e migliorando l’efficienza dell’amministrazione delle policy.
  • Creare e assegnare definizioni di Iniziativa: l’utilizzo delle iniziative consente di raggruppare più policy correlate all'interno di un'unica struttura per una gestione più semplice e coerente. Questo approccio aiuta a implementare strategie di governance su larga scala, assicurando che tutte le policy necessarie per un determinato obiettivo siano applicate in modo unificato e coordinato.
  • Rivedere regolarmente le policy: le esigenze aziendali, i progetti, le priorità e le normative sulla conformità sono in costante evoluzione. Per questo motivo, è fondamentale rivedere periodicamente le policy per garantirne la rilevanza e l'efficacia. Un processo di revisione regolare permette di aggiornare le policy per adattarsi ai cambiamenti organizzativi, evitare obsolescenze e assicurare che le risorse rimangano sempre conformi alle regolamentazioni più recenti.

Conclusioni

Era naturale che l’evoluzione delle infrastrutture digitali verso il cloud avrebbe portato a dei cambiamenti nel modo in cui un’organizzazione deve mettere al sicuro le proprie risorse e garantire che non vengano adocchiate da personale non autorizzato o agenti malevoli.

Ma questo cambiamento non deve significare maggiore complessità, ed Azure Policy è uno strumento essenziale per i professionisti IT che desiderano semplificare la governance, ridurre i rischi e garantire una conformità costante negli ambienti cloud e ibridi.

Combinando applicazione proattiva, correzione automatizzata e monitoraggio continuo, Azure Policy trasforma la governance in un processo fluido e automatizzato.

Con il supporto per risorse native di Azure, carichi di lavoro on-premise e implementazioni multi-cloud tramite Azure Arc, Azure Policy offre un framework unificato per gestire l'intero panorama IT. Che si tratti di applicare baseline di sicurezza, gestire i costi delle risorse o soddisfare i requisiti di conformità, il servizio fornisce la visibilità e il controllo necessari per operare con sicurezza su larga scala.

Con Azure Policy, i professionisti IT possono smettere di rincorrere configurazioni errate e concentrarsi su ciò che conta di più: creare soluzioni cloud sicure, efficienti e conformi che favoriscano il successo della loro azienda, e niente più.

FAQ su Azure Policy

Che cos’è Azure Policy?

Azure Policy è un servizio incluso nella piattaforma Microsoft Azure che permette di definire, assegnare e gestire policy per garantire che le risorse rispettino requisiti di sicurezza, standard aziendali e normative. A differenza dei sistemi che si limitano a controllare le autorizzazioni degli utenti, Azure Policy si concentra direttamente sullo stato e sulla configurazione delle risorse, assicurando che siano sempre in linea con le aspettative e le regole aziendali.

Qual è la differenza tra Azure Policy e RBAC?

La differenza principale è che RBAC determina chi può effettuare determinate azioni su una risorsa, come ad esempio creare o modificare uno storage account, mentre Azure Policy si occupa di verificare che quella risorsa sia configurata correttamente secondo criteri aziendali, ad esempio assicurandosi che lo storage account sia crittografato o etichettato. In sintesi, RBAC gestisce le autorizzazioni degli utenti, mentre Azure Policy governa lo stato delle risorse.

Come funziona Azure Policy?

Ogni volta che una risorsa viene creata o modificata, Azure Policy valuta la richiesta attraverso il motore di Azure Resource Manager. Se le policy definite sono violate, il sistema può bloccare l’azione, segnalarla oppure intervenire con una correzione automatica. Oltre a questa verifica immediata, Azure Policy esegue valutazioni periodiche per controllare che anche le risorse esistenti siano conformi alle regole, permettendo un controllo continuo e approfondito dell’ambiente Azure.

Dove si possono applicare le Azure Policy?

Le policy possono essere applicate a vari livelli gerarchici. È possibile utilizzarle sui Management Groups per definire regole valide su più subscription, sulle singole subscription per influenzare tutte le risorse contenute, sui Resource Group per agire su insiemi specifici di risorse o persino su risorse individuali, per ottenere un controllo più granulare. Questa flessibilità consente di adattare l’applicazione delle policy a ogni esigenza di governance, dal livello aziendale fino al singolo progetto.

Quali sono i componenti principali di una Azure Policy?

Una policy è composta da una definizione, che specifica cosa valutare e cosa fare nel caso in cui la regola venga violata, da un effetto, che rappresenta l’azione vera e propria da intraprendere (come negare la creazione o segnalare un’anomalia), da eventuali parametri, che rendono la policy più flessibile e riutilizzabile in contesti diversi, e infine da un’assegnazione, che indica l’ambito a cui la policy si applica. In alternativa alle singole policy, è possibile utilizzare iniziative, cioè collezioni di policy con un obiettivo comune di conformità.

Cos’è un’iniziativa in Azure Policy?

Un’iniziativa è un insieme di policy raggruppate per affrontare in modo coordinato obiettivi di governance più ampi. Permette di applicare contemporaneamente più regole su uno stesso ambito, ad esempio tutte le policy necessarie per garantire la sicurezza di un ambiente cloud. Questo approccio semplifica la gestione e consente una maggiore coerenza nel tempo.

Posso correggere automaticamente le risorse non conformi?

Sì, Azure Policy consente non solo di rilevare le non conformità, ma anche di intervenire per correggerle. Le azioni di remediation possono essere automatiche o programmate e permettono, ad esempio, di applicare configurazioni mancanti o ripristinare impostazioni corrette. In questo modo, le policy non si limitano a segnalare i problemi, ma aiutano anche a risolverli in modo proattivo.

Quali sono i benefici di Azure Policy per i professionisti IT?

Per i professionisti IT, Azure Policy rappresenta un alleato fondamentale nella gestione della governance cloud. Consente di prevenire configurazioni errate, automatizzare i controlli di conformità, ridurre il rischio di violazioni di sicurezza o sprechi di risorse, e semplificare la reportistica necessaria per il monitoraggio continuo. Tutto questo avviene mantenendo la velocità operativa richiesta dai moderni ambienti cloud, senza compromettere la sicurezza o l’efficienza.

Esistono policy predefinite in Azure?

Sì, Azure mette a disposizione un’ampia raccolta di policy predefinite pronte all’uso che coprono scenari comuni come la protezione dei dati, la gestione dei costi e la conformità. È anche possibile definire policy personalizzate in formato JSON per soddisfare esigenze più specifiche. Inoltre, le policy predefinite possono essere combinate in iniziative per una gestione più strutturata.

Come implementare efficacemente le Azure Policy?

Per utilizzare al meglio Azure Policy, è consigliabile iniziare con effetti di audit per comprendere l’impatto delle policy senza imporre subito restrizioni. È importante definire chiaramente la gerarchia organizzativa per assegnare le policy agli ambiti corretti, sfruttare i parametri per renderle più flessibili e utilizzare le iniziative per gestire più policy in modo unificato. Infine, è fondamentale rivedere regolarmente le policy per mantenerle aggiornate rispetto ai cambiamenti aziendali e normativi.

Scopri perché scegliere il team

Infra & Sec

Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).