Münchner Straße 15, 89073 Ulm
+49 7319 53495-29

Azure

PREVIEW

Azure – management, governance, security & monitoring

In diesem Kurs werden wir uns ausgiebig mit den Themen Management, Security, Governance und Monitoring in Azure auseinandersetzen.

Zum Einstieg werden wir mit sämtlichen Azure-Schnittstellen interagieren, darunter natürlich die GUI (Azure-Portal) sowie Azure PowerShell (AzureRm und Az), Azure CLI, die browserbasierte Cloud Shell und die REST API. Da sämtliche anderen Clients auf der REST API aufbauen ist dies ein guter Einstiegspunkt.

ARM Templates sind für ein sauberes und effizientes Deployment unabdingbar. Wir werden unsere ARM Templates selber definieren sowie auch mit Parameter-Files arbeiten und diese auch deployen. Weiter geht unser Management Thema mit den verschiedenen Verwaltungseinheiten von Azure, darunter Tenants, Management Groups, Subscriptions, Resource Groups und Resources. Dabei gehen wir auf Best Practices ein die auch in größeren Umgebungen umgesetzt werden. Ein effektives und durchdachtes Subscription Management ist für große Umgebungen unabdingbar.

Als Kern unseres Government-Themas betrachte wir natürlich auch die Azure Policies, die es erlauben vorher definierte Richtlinien zu definieren was in einer Subscription für REST Operations durchgeführt werden dürfen. Wir schauen uns die Struktur einer Azure Policy an und werden auch selbst eigene Policies erstellen. Auch Tags, Naming Conventions sowie Azure Blueprints sind Teil unseres Government Themas. Mit Tags lässt sich eine Taxonomie aufbauen, um Azure-Ressourcen besser zuweisbar zu machen. Vielen Unternehmen haben bereits etablierte Naming Conventions, daher macht es Sinn diese auf Azure auszuweiten. Welche Möglichkeiten Unternehmen hier haben werden wir genauestens beleuchten sowie Best Practices für die Benennung von Azure-Ressourcen geben. Azure Blueprints erlauben es vordefinierte, wiederverwendbare Umgebungen zu erstellen die aus ARM Templates, Policy Assignments, Role Assignments sowie Resource Groups bestehen, um eine schnelleres Deployment für Developer-Teams zu ermöglichen.

Monitoring ist in jeder größeren Umgebung für einen reibungslosen und fehlerlosen Betrieb unabdingbar. Azure bietet für diesen Fall mächtige Tools wie Azure Monitor an, die die Azure-Umgebung 24/7 überwachen und bei Fehlern Alarm schlagen und sogar automatisierte Fehlerbehebungen anstoßen können. Log Analytics (ehemals OMS) ist als zentrales Log Repository gedacht, das nicht nur Azure VMs, sondern sogar Logs aus anderen Clouds (wie AWS, GCP, etc…) sammeln und analysieren kann. Log Analytics verwendet für diesen Fall die Kusto Query Language, mit dem komplizierte Abfragen entwickelt werden können, welche wir auch in diesem Kurs selbst schreiben werden. Für Probleme in Azure Regionen bietet Microsoft Service Health an, dass den Kunden über eventuelle Probleme und Beeinträchtigungen an Services informiert. Der Network Watcher ist ein nützliches Tool bei der Fehlersuche bei Netzwerkproblemen zwischen Azure-VMs. Zum Abschluss des Themas werden wir uns noch das momentan noch in Preview befindliche Azure Sentinel anschauen, einem Cloud-nativen SIEM das direkt auf Log Analytics aufbaut.

Für den Security-Bereich unserer Schulung werden wir natürlich auch das Azure Security Center (ASC) verwenden, das in einer großen Azure-Umgebung nützliche Einblicke in Sicherheitsanalysen und eventuelle Sicherheitsprobleme aufzeigt (Brute-Force Attempts, Internet-facing Management Ports, Ransomware-Attacks). Der ASC Standard-Tarif bietet darüber hinaus noch weitere Capabilities wie Just-In-Time VM-Access (JIT), Advanced Threat Protection für IaaS und PaaS, Network Hardening sowie Adaptive Application Controls, die wir uns natürlich auch im Detail anschauen werden.

Größere Unternehmen und Konzerne besitzen meist die M3 oder EMS E3 Lizenzen, daher werden wir uns auch die Advanced Capabilites dieser Produkte wie Azure AD Identity Protection, Azure AD Priviliged Identiy Management (PIM), Access Reviews, Terms of Use sowie auch das momentan noch in Preview befindliche Entitlement Management ansehen. Ebenfalls werden wir uns über Hardening-Methoden und Best Practices zur Absicherung von IaaS sowie PaaS-Diensten unterhalten. Abschließen werden wir den Kurs mit einem Blick auf Azure Advanced Threat Protection (Azure ATP), dem Cloud-Gegenpart zu ATA sowie dem Secure DevOps Kit für Azure.

Tag 1: Management & Governance

  • Azure-Schnittstellen (Azure-Portal, Azure PowerShell, Azure CLI, REST API, Cloud Shell)
  • Management Groups
  • Subscription Management
  • Azure Policy
  • Resource Groups
  • Naming Conventions
  • Resource Providers
  • Tags
  • Resource Graph
  • IAM (RBAC)
  • Azure AD Roles
  • Administrative Units (AUs)
  • Azure Blueprints
  • Azure Deployment Manager
  • Azure Advisor

Tag 2: Monitoring

  • Azure Monitor
  • Log Analytics (ehemals OMS)
  • Service Health
  • Network Watcher
  • Logging
  • Application Insights
  • Azure Sentinel

Tag 3: Security

  • Security Center
  • Conditional Access
  • Access Reviews
  • Entitlement Management
  • Priviliged Identity Management (PIM)
  • Identity Protection (IDP)
  • Terms of Use
  • Securing IaaS
  • Securing PaaS
  • Azure ADvanced Threat Protection
  • Secure DevOps Kit for Azure
X