Münchner Straße 15, 89073 Ulm
+49 7319 53495-29

Azure

PREVIEW

Azure – management, governance, security & monitoring

In diesem Kurs setzen wir uns ausgiebig mit den Themen Management, Security, Governance und Monitoring in Azure auseinander.

Zum Einstieg interagieren wir mit sämtlichen Azure-Schnittstellen, darunter natürlich die GUI (Azure-Portal) sowie Azure PowerShell (AzureRm und Az), Azure CLI, die browserbasierte Cloud Shell und die REST API. Da sämtliche anderen Clients auf der REST API aufbauen, ist dies ein guter Einstiegspunkt.

ARM Templates sind für ein sauberes und effizientes Deployment unabdingbar. Wir werden unsere ARM Templates selbst definieren sowie auch mit Parameter-Files arbeiten und diese deployen. Weiter geht unser Management-Thema mit den verschiedenen Verwaltungseinheiten von Azure, darunter Tenants, Management Groups, Subscriptions, Resource Groups und Resources. Dabei gehen wir auf Best Practices ein, die auch in größeren Umgebungen umgesetzt werden. Ein effektives und durchdachtes Subscription Management ist hierbei unabdingbar.

Als Kern des Government-Themas betrachten wir natürlich auch die Azure Policies, die es erlauben, Richtlinien für die Durchführung einer Subscription für REST Operations zu definieren. Wir schauen uns die Struktur einer Azure Policy an und erstellen auch selbst eigene Policies. Auch Tags, Naming Conventions sowie Azure Blueprints sind Teil unseres Government-Themas. Mit Tags lässt sich eine Taxonomie aufbauen, um Azure-Ressourcen besser zuweisbar zu machen. Viele Unternehmen haben bereits etablierte Naming Conventions, daher macht es Sinn, diese auf Azure auszuweiten. Welche Möglichkeiten Unternehmen hier haben, werden wir genauestens beleuchten sowie Best Practices für die Benennung von Azure-Ressourcen geben. Azure Blueprints erlauben es, vordefinierte, wiederverwendbare Umgebungen zu erstellen, die aus ARM Templates, Policy Assignments, Role Assignments sowie Resource Groups bestehen, um eine schnelleres Deployment für Developer-Teams zu ermöglichen.

Monitoring ist in jeder größeren Umgebung für einen reibungslosen und fehlerlosen Betrieb unabdingbar. Azure bietet für diesen Fall mächtige Tools wie Azure Monitor an, die die Azure-Umgebung 24/7 überwachen und bei Fehlern Alarm schlagen und sogar automatisierte Fehlerbehebungen anstoßen können. Log Analytics (ehemals OMS) ist als zentrales Log Repository gedacht, das nicht nur Azure VMs, sondern sogar Logs aus anderen Clouds (wie AWS, GCP) sammeln und analysieren kann. Log Analytics verwendet für diesen Fall die Kusto Query Language, mit der elaborierte Abfragen entwickelt werden können. Diese werden wir in diesem Kurs selbst schreiben. Für Probleme in Azure Regionen bietet Microsoft Service Health an, das den Kunden über eventuelle Probleme und Beeinträchtigungen an Services informiert. Der Network Watcher ist ein nützliches Tool bei der Fehlersuche bei Netzwerkproblemen zwischen Azure-VMs. Zum Abschluss des Themas blicken wir noch auf das momentan in Preview befindliche Azure Sentinel, einem Cloud- nativen SIEM, das direkt auf Log Analytics aufbaut.

Für den Security-Bereich unserer Schulung verwenden wir natürlich auch das Azure Security Center (ASC), das in einer großen Azure-Umgebung nützliche Einblicke in Sicherheitsanalysen gibt und eventuelle Sicherheitsprobleme aufzeigt (Brute-Force Attempts, Internet-facing Management Ports, Ransomware-Attacks). Der ASC Standard-Tarif bietet darüber hinaus noch weitere Capabilities wie Just-In-Time VM-Access (JIT), Advanced Threat Protection für IaaS und PaaS, Network Hardening sowie Adaptive Application Controls.

Größere Unternehmen und Konzerne besitzen meist M3 oder EMS E3 Lizenzen, daher werden wir uns auch die Advanced Capabilites dieser Produkte wie Azure AD Identity Protection, Azure AD Priviliged Identity Management (PIM), Access Reviews, Terms of Use sowie auch das momentan noch in Preview befindliche Entitlement Management ansehen. Ebenfalls unterhalten wir uns über Hardening-Methoden und Best Practices zur Absicherung von IaaS sowie PaaS-Diensten. Abschließen werden wir den Kurs mit einem Blick auf Azure Advanced Threat Protection (Azure ATP), dem Cloud-Gegenpart zu ATA sowie dem Secure DevOps Kit für Azure.

Tag 1: Management & Governance

  • Azure-Schnittstellen (Azure-Portal, Azure PowerShell, Azure CLI, REST API, Cloud Shell)
  • Management Groups
  • Subscription Management
  • Azure Policy
  • Resource Groups
  • Naming Conventions
  • Resource Providers
  • Tags
  • Resource Graph
  • IAM (RBAC)
  • Azure AD Roles
  • Administrative Units (AUs)
  • Azure Blueprints
  • Azure Deployment Manager
  • Azure Advisor

Tag 2: Monitoring

  • Azure Monitor
  • Log Analytics (ehemals OMS)
  • Service Health
  • Network Watcher
  • Logging
  • Application Insights
  • Azure Sentinel

Tag 3: Security

  • Security Center
  • Conditional Access
  • Access Reviews
  • Entitlement Management
  • Priviliged Identity Management (PIM)
  • Identity Protection (IDP)
  • Terms of Use
  • Securing IaaS
  • Securing PaaS
  • Azure ADvanced Threat Protection
  • Secure DevOps Kit for Azure
X