Na přelomu března a dubna 2022 vydal Microsoft do General Availability možnost využití vlastního rozsahu public IP adres v Azure (BYOIP – Bring Your Own IP). Jednoduše řečeno si můžete jako zákazník Microsoftu nebo partnera poskytující služby v cloudu přinést do Azure vlastní rozsah veřejných IP adres. Využití je naprosto stejné jako v případě veřejných adres přímo vlastněných a nasazených v Azure. Vaše IP adresy mohou být přiřazovány ke zdrojům, mohou komunikovat s interními či privátními IP adresami nebo virtuálními sítěmi v rámci Azure a jsou taktéž samozřejmě dostupné pro odchozí přenos z Azure do WAN sítí.
Jaké to přináší výhody?
Díky tomu, že dokážete použít vaše vlastněné rozsahy veřejných IP adres si zanecháte vaši získanou reputaci (dlouhodobě ověřené veřejné IP) a nadále budete bez problému procházet přes externí „whitelisting“. Dalším benefitem je, že předpony veřejných IP adres a standardní veřejné IP lze odvodit z vašich vlastních předpon IP adres. Tyto IP adresy lze používat stejným způsobem jako veřejné IP adresy vlastněné Azurem.
Abyste byli schopni využít vlastní rozsah veřejných IP adres, je zapotřebí projít následujícím procesem:
Validace – rozsah IP, který si chcete do Azure přinést, musíte vlastnit a musí být zaregistrován v Routing Internet Registry such as ARIN or RIPE. IP rozsah v Azure stále zůstává ve vašem vlastnictví, musíte jen dát autorizaci Microsoftu, aby mohl daný rozsah publikovat. V rámci ověření se potvrzuje vaše vlastnictví samotného rozsahu a asociace s vaší Azure subskripcí. Některé validační kroky mohou být uskutečněny mimo oblast Azure.
Nasazení – po splnění předchozího kroku je vytvořen ve vaší subskripci v Azure zdroj s vlastním IP prefixem. Předpony veřejných IP adres a veřejné IP adresy lze odvodit z vašeho rozsahu a přiřadit je ke zdrojům v Azure. IP adresy nejsou v tomto okamžiku publikované a nebudou zatím dostupné.
Spuštění – jakmile je vše připraveno přichází čas publikace IP adres. Vámi specifikovaný rozsah bude publikován nejprve z Azure regionu, kde se nachází zdroj s vlastním IP prefixem a poté je přes Microsoft WAN publikován do internetu. Informace o regionech, kde byl již rozsah publikovaný, je dostupný v CSV ke stažení na Microsoft IP Range GeoLocation.
Existuje i samozřejmě několik limitací, na které je potřeba brát zřetel:
Vlastní IP rozsah musí být svázán s jedním Azure regionem
Minimální velikost IP rozsahu je /24
IPv6 není aktuálně podporován
V regionech s availability zónami musí být IP prefix nastaven jako zónově redundantní nebo přiřazen ke specifické zóně. V těchto regionech ho jednoduše nemůžete vytvořit bez redundance. Všechny IP adresy z daného prefixu musí mít stejné vlastnosti zóny.
Publikace vlastního IP prefixu není podporována přes Azure ExpressRoute.
Přesouvání IP prefixu není možné, nelze přesouvat mezi subskripcemi ani skupinami zdrojů. Existuje možnost odvození veřejného IP prefixu z vlastního IP prefixu v jiné subskripci s patřičnými oprávněními.
Jakákoli IP adresa z vašeho IP rozsahu je započítávána do standartní kvóty pro množství IP adres pro subskripci a region.
Dobrou poznámkou na konec je fakt, že nasazení vlastního veřejného IP rozsahu není nijak zpoplatněno. Ostatní poplatky jako egress traffic jsou účtovány standartně.
V předchozím článku jsem detailněji rozebral disciplínu Resource Consistency, na kterou bude dnes navazovat další z celkem pěti disciplín Azure Governance a tou je konkrétně disciplína Security Baseline.
Pokud bychom chtěli převést do češtiny tento anglický název – Security Baseline, tak se budeme bavit o základních bezpečnostních opatřeních z pohledu IT v cloudovém prostředí. Bezpečnost je dnes základní komponentou každého IT oddělení, které má svou část nebo celou infrastrukturu v cloudu. Mnoho firem je regulováno z pohledu ochrany citlivých dat, což je při zvažování přechodu do cloudu jedna z hlavních priorit. Pro týmy kyberbezpečnosti musí být identifikace potencionálních hrozeb v cloudovém prostředí, stabilizace procesů a procedur na prvním místě v jejich pracovním žebříčku. V praktickém pojetí se při provádění Security Baseline disciplíny jedná zejména o definování a automatické vynucování základních bezpečnostních nastavení v cílovém prostředí tak, aby odpovídala bezpečnostní politice pro celé prostředí. Důležitou částí v této disciplíně je seznámení se s interními bezpečnostními směrnicemi pro IT a zákonným rámcem, ve kterém se zákazník musí pohybovat. Součástí je také sběr relevantních požadavků, které chce zákazník technicky promítnout do cloudového prostředí. Na základě těchto požadavků jsou definovány bezpečnostní politiky, standardy, šablony pro nasazení a další nastavení v rámci Azure, které budou auditovat a případně vynucovat specifikovaná nastavení.
Stejně jako při řešení disciplíny Resource Consistency se musíme i u Security Baseline zaměřit na rizika spojené s IT službami a firemního pohledu. U bezpečnosti nám jde především o ochranu dat, jejich klasifikaci, čerstvé bezpečnostní aktualizace a ochranu proti útokům. Všechny tyto aspekty lze sledovat v následujících ukázkových metrikách, které poskytnou lepší přehled o tom, čím je důležité se v této disciplíně zabývat. V podstatě se dá říct, že čím více vaše organizace v cloudu poroste, tím je potřeba se více zabývat bezpečnostními pravidly a sofistikovanějšími způsoby, jak tyto pravidla dodržovat, sledovat a případně vynucovat.
Metrika
Popis
Klasifikace dat
Množství dat nebo služeb, které jsou uloženy v cloudu a nemají žádnou klasifikaci vzhledem k firemním politikám o soukromí, dodržování zásad nebo standardům, které by měly dopad na podnikání.
Úložiště s citlivými údaji
Počet koncových bodů úložišť nebo databází, které obsahují citlivá data a měla by být chráněna.
Úložiště s nešifrovanými daty
Počet úložišť s citlivými daty, která nejsou šifrována.
Rozsah případného útoku
Jaké množství dat, služeb a aplikací bude hostováno v cloudu. Kolik procent těchto zdrojů s daty jsou klasifikována jako „citlivé“. Kolik procent aplikací a služeb jsou kriticky důležité.
Standardy zabezpečení
Množství bezpečnostních standardů definovaných bezpečnostním týmem.
Zabezpečené zdroje
Množství nasazených zdrojů, které jsou chráněny bezpečnostními standardy.
Přehled dodržování zásad (Compliance)
Poměr zdrojů, které jsou ve shodě s bezpečnostními zásadami.
Útoky dle vážnosti
Jaké množství koordinovaných pokusů o přerušení služeb (DDoS) bylo zaznamenáno. Jaká byla jejich velikost a vážnost?
Ochrana proti Malware
Procento nasazených virtuálních strojů, které mají všechny vyžadované způsoby ochrany – anti-malware, firewall nebo jiný nainstalovaný software zajišťující ochranu.
Čerstvost aktualizací
Doba, která uplynula od poslední aktualizace operačního systému nebo jiného nainstalovaného software.
Bezpečnostní doporučení
Počet bezpečnostních doporučení, které pomohou vyřešit vynucené standardy na nasazených zdrojích seřazených dle vážnosti.
Samotné definování zásad organizace není účinné, pokud je nelze automaticky vynucovat. Klíčovým aspektem plánování jakékoli migrace do cloudu je určení toho, jak nejlépe zkombinovat nástroje poskytované cloudovou platformou s vašimi stávajícími IT procesy a maximalizovat tak dodržování zásad napříč celou cloudovou infrastrukturou. Pro jedinou subskripci a základní nasazení zdrojů může být využito předem připravených funkcí, které nativně nabízí samotný Azure portál. Nastavení jednotnosti vychází ze samotného Cloud Adoption Frameworku, který pomáhá budovat základní stupeň dodržování zásad bez jakýchkoliv vstupních investic do Azure Governance. Funkce, které mohou být využity v rámci Azure portálu:
Šablony nasazení – možnost standardizované struktury a nastavení jednotlivých konfigurací.
Tagování a jmenný standard – pomůže organizovat zdroje, které jsou snadno identifikovatelné.
Správa přenosu a síťové omezení – možnost implementace pomocí Software Defined Networking.
RBAC – možnost zabezpečení a izolace zdrojů jen pro určité skupiny či uživatele.
Při rozhodování, kdy nasadit automatické vynucování bezpečnostních pravidel nebo pravidla nechat na samotných uživatelích závisí na velikosti firmy, počtu subskripcí a také jak moc máme schopné uživatele. Pomocníkem může být následující rozhodovací průvodce podobně jako u Resource Consistency disciplíny:
Na první pohled je viditelné, že čím je organizace větší, tím více je potřeba automatizovat aplikování bezpečnostních zásad a jejich vynucování. Přichází s tím ruku v ruce i větší zodpovědnost za cloudové zdroje a jejich množství. Proto je potřeba myslet na nutnost mít dobré monitorovací nástroje a využívat je co nejefektivněji.
Monitorování dodržování zásad (Compliance)
V reálném světe nelze spoléhat na to, že po nasazení politik a pravidel bude vše krásně zelené a budeme spokojení s tím, jak jsme nasadili Security Baseline. Důležité je samozřejmě sledovat, zdali se vše,, co jsme definovali, dodržuje, případně jaké zdroje dané politiky se nedodržují. Azure poskytuje nativní využívání notifikací, které mohou vlastníky zdrojů upozorňovat na nedodržování zásad a jejich nápravu. Součástí monitoringu by mělo být logování akcí a měsíční reportování s přehledem zdrojů a jejich stav splňující či nesplňující nastavené politiky. U rozsáhlejších prostředí může s tímto pomoci Azure Security Center, které poskytuje výše uvedené funkce.
Vynucování politik
Z pohledu vynucování politik a pravidel existují v podstatě dva způsoby, jak docílit cíleného efektu. První způsob je proaktivní, kdy jsme už například při vytváření zdroje omezeni určitými pravidly. Například můžeme pomocí Azure Policy definovat pouze povolené SKU velikosti virtuálních strojů, čímž zamezíme vytváření zbytečně drahých strojů, které nejsou potřeba. Druhý způsob je reaktivní a jde o nastavení politik, které budou sloužit pouze jako sledovače. Na základě jejich reportování uvidíme, které zdroje nesplňují chtěná nastavení, Ty pak můžeme vynucovat jinými způsoby nebo automatizovaně pomocí jiných politik či Azure Blueprints. Azure Blueprints nám pomáhají nasazovat a aktualizovat cloudová prostředí způsobem, který lze opakovat. To je zajištěno díky možnosti přidávat do blueprintů artefakty, jako jsou šablony Azure Resource Manager, řízení přístupu na základě RBAC rolí a Azure politiky. Azure Blueprints jsou skvělý způsob, jak zrychlit nasazování kompatibilních prostředí.
Disciplína Security Baseline je nikdy nekončící běh a měl by na to myslet každý IT architekt nebo administrátor. Jde o to, že se neustále objevují nové typy útoků a společnosti by se měly adaptovat a měnit své návyky, aby jejich prostředí bylo dostatečně zabezpečeno. Postupem času každá firma aktualizuje svá vnitrofiremní pravidla, přičemž jejich změna by se měla promítnout i v IT oblasti a nasazení politik.
V příštím článku této pětidílné série se podíváme na disciplínu Cost Management, kde vysvětlím důležitost sledování měsíčních nákladů na provoz cloudu a jaké nástroje nám pomohou s jejich sledováním a reportováním.
V dnešním článku, který je rozdělen na dva díly uvedu několik užitečných praktik, které pomohou udržet vaše Azure prostředí přehledné a cenově efektivní. Uvedené praktiky spadají do oblasti Azure Governance, které se na našem blogu věnujeme v několika směrech.
Úvodem je vhodné říct, že zavádění a vyladění Azure Governance k dokonalé spokojenosti je běh na delší trať. Je potřeba pochopit, že pokud nikdo během dvou let, co vaše společnost využívá Azure služeb neřešil řízení zdrojů, pořádné zabezpečení, aplikování politik nebo správu nákladů, tak se to určitě nezmění o 180° k lepšímu během několika dnů nebo týdnů. Větší společnosti stráví nad Azure Governance i několik let, než je opravdu všechno nastaveno, tak jak má být. Navíc během času, ve kterém se firma vyvíjí, tak by se mělo vyvíjet i samotné řízení cloudu a přizpůsobovat se novým změnám ve společnosti.
V prvopočátku Azure Governance je na místě zvážit důvody proč ji chceme řešit, za jakým účelem a co je cílem. Nejprve doporučuji stanovovat menší cíle na kratší období, kdy můžete velmi dobře sledovat jejich průběh a plnění. Pokud jde vše zdárnou cestou, tak se mohou volit větší cíle na delší období s celofiremním dopadem. V tomto článku popisuji pět nejlepších praktik, se kterými můžete v Azure začít kdykoli. Jsou to ty nejzákladnější pravidla, která při dodržování uleví firemní peněžence a zpřehlední celé vaše Azure prostředí.
Sledujte kolik utrácíte – Cost Management
V cloudu jde velmi často o finanční prostředky, které jsou k dispozici a mohou být proinvestovány. Náklady na cloudové služby jako takové jsou brány jako Opex – operativní náklady. Většinou neplatíte nic předem, platíte pouze za to, co spotřebováváte. Zní to jednoduše, ale realita je někdy jiná. Bez dozoru totiž stěží uhlídáte Frantu z IT nebo Lenku z vývoje, kteří si nasadí tu nejdražší variantu databázové služby, třeba jen proto, že si ji chtěli vyzkoušet, ale zapomněli ji smazat. Taková malá nepozornost může vyjít na několik desítek tisíc korun měsíčně, a přitom zcela zbytečně. V Cost Managementu jde o odhalení rizik spojených se zbytečnými výdaji za infrastrukturu v Azure dříve, než nastanou. Mezi nejčastěji opomenuté aspekty týkající se běžící infrastruktury v Azure patří:
Kontrola budgetu – bez kontroly limitu výdajů se může částka za náklady v cloudu dostat k astronomickým hodnotám.
Rada: Nastavte si budget limity v Azure Cost Management + Billing.
Utilizace – většinou jde o nevyužívání zdrojů dle jejich kapacity nebo předkoupení zbytečného množství zdrojů, které pak nejsou stejně využívány.
Rada: Sledujte využívání zdrojů pomocí Azure Monitor nebo využijte auto scalingu.
Výdajové anomálie – nečekaně objevující se vysoké výdaje mohou být důsledkem špatného nastavení nebo nesprávného využívání služby.
Rada: Nastavte si Upozornění na Budget limitu, které vás informuje o překročení limitní částky.
Předimenzované zdroje – při nasazení zdrojů v Azure se může stát, že počáteční konfigurace služby/zdroje převyšuje nároky na běžící aplikaci nebo virtuální stroj. Tyto přebytky mohou tvořit značnou část měsíčních nákladů.
Rada: Sledujte využívání zdrojů v Azure Monitor a v případě nevyužívané kapacity snižte SKU služby.
Základním rozcestníkem při analýze výdajů bude nástroj Cost Analysis v Cost Management + Billing službě. Jde o přehledný dashboard, na které vidíte kolik aktuálně utrácíte, za co a jaký bude vývoj nákladů, pokud již v prostředí nic nepřibude. Ukázka, jak může takový dashboard vypadat je na obrázku níže.
Z pohledu těch nejlepších praktik bychom se na Cost management měli dívat ze dvou směrů – náklady na provoz a náklady při zřizování služby/zdroje. Je vhodné dodržovat jmenné konvence a využívat tagů, identifikovat správné velikosti zdrojů (např. virtuálních strojů), automatické vypínání neprodukčních a jiných virtuálních strojů, když nejsou zrovna potřeba, využívat správných parametrů při automatickém rozšiřování infrastruktury a nezapomínat na vyřazené stroje z provozu a jejich smazání. Tyto praktiky detailněji vysvětluje následující kapitola.
Udržujte přehled a pořádek – Resource Consistency
Pro správce Azure prostředí není nic horšího než nepřehledné a chaotické uspořádání zdrojů a služeb. Nejen že se tím navyšují náklady pro správu těchto zdrojů, ale často tato prostředí obsahují „věci“, které jsou už nevyužívané, zastaralé a zranitelné. Přitom stačí málo , aby to dávalo smysl. Začít se musí od začátku, takže je nejprve vhodné promyslet Azure hierarchii a způsob jakým se bude udržovat základní přehlednost celé infrastruktury. Hezký příkladem je obrázek níže.
Už jen toto malé opatření dokáže efektivně zpřehlednit vaše prostředí. Pokud je společnost větší a má více oddělení, tak se to dá vyřešit jejich rozčleněním do dalších Management Groups. Výbornou praktikou je i rozdělování aplikačních celků do jednotlivých Resource Groups. Další základní kameny pro přehledné a učesané prostředí jsou:
Tagování – každý zdroj v Azure byl měl mít nastavené tagy, které specificky určují například vlastníka, datum vytvoření zdroje, oddělení, SLA, jeho důležitost, klasifikaci atd.
Automatické vypínání virtuálních strojů – proč by měly VM běžet, když nejsou využívané? Samozřejmě to nelze aplikovat v produkčních prostředích, kde musí být vaše služba dostupná 24/7, ale takové vývojové nebo testovací prostředí, které přes noc nikdo nepoužívá může být dobrým kandidátem.
Smazání nepotřebných zdrojů – zde platí pravidlo 90/90. Pokud nebyl zdroj v posledních 90 dnech využíván, doporučuji ho vypnout a dealokovat (jde o náklady na Storage, které by byly i tak účtovány). Pokud je VM dalších 90 dnů vypnutá a nikdo ji během této doby nepotřeboval, tak doporučuji tento zdroj kompletně smazat.
Zálohování – zde je to bez debat, pokud se jedná o produkční VM, je nutné ji zálohovat. Jak často a jak dlouho držet kopii zálohy by měla určit vaše vnitrofiremní politika.
Obnova při havárii – pokud provozujete služby, které jsou pro zákazníky kritické, tak musíte být připraveni i na možnost Disaster Recovery. Při jakékoli nečekané události musíte být schopni vaše služby co nejrychleji obnovit – zde pomohou Availability Sets, Zones, VM Scale Sets, Geo Redundance Storage a mnoho dalších Azure High Availability řešení. Řešení je však vždy nutné přizpůsobit požadavkům na RPO a RTO.
Ve druhém díle rozeberu doporučení a vhodné praktiky pro dostatečné zabezpečení, přiřazování identit a práv s tím spojených a v neposlední řadě pár tipu pro automatizace, která je nedílnou součástí cloudového prostředí.
„Kdy už bych měl začít systematicky řídit své Azure prostředí?” tuto otázku si pravděpodobně pokládá spoustu vedoucích IT pracovníků zodpovědných za cloudové služby ve své organizaci. Pokud organizace s Azure teprve začíná, je nejlepší začít ihned, nežli později nebo vůbec. Jestliže organizace už používá služby Azure nějakou dobu a má rozsáhlou infrastrukturu, bude narovnávání prostředí komplikovanější, ale určitě ne nemožné. Vždy je nutné začít po malých částech, než chtít dát do pořádku naprosto vše a ihned.
Pro lepší pochopení problematiky řízení a správy zdrojů v Azure (Governance) je důležité zmínit čím je potřeba se zabývat:
Vytvářením smysluplných hierarchií pomocí Azure Management Groups
Aplikování příslušných politik pomocí Azure Policy na již definované skupiny a subskripce
Konfigurace politik přímo do šablon nebo rolí v Azure pomocí Azure Blueprints, což přináší efektivitu a rychlost při aplikaci politik na nové subskripce
Inventářem zdrojů přes Azure Resource Graph – díky domu máte detailní přehled o zdrojích
Optimalizací a sledováním nákladů pomocí Azure Cost Management + Billing
Základním kamenem Governance je MVP – Minimum Viable Product (minimálně životaschopný produkt). Cílem MVP je omezit překážky, které by bránily k vytvoření počátečního plánu pro Governance a poté umožnit rychlé vyřešení rizik, které se mohou během implementace nebo produkce objevit.
Méně znalí Microsoft Azure jsou teď pravděpodobně vyděšeni, co všechno bude potřeba zvládnout a jak si s tím vlastně poradit. Nicméně není potřeba se děsit, protože již existuje řada nástrojů a průvodců, kteří nám usnadní kroky k vysněné cestě – mít vše pod kontrolou, přehledné a řídit vše systematicky bez stresu. Jedním z těchto nástrojů, který nám může při přechodu do cloudu velmi pomoct je Cloud Adoption Framework (CAF). CAF poskytuje postupy, které samy o sobě obsahují kroky související se správou zdrojů a vkládá je přímo do činností souvisejících s plánem pro přijetí cloudu v organizaci. Díky této sadě doporučení je organizace schopna efektivně nasadit potřebná pravidla pro Governance hned na začátku. Hezkým příkladem je použití šablon k nasazení jedné nebo více “landing zones“ (připravená infrastruktura v Azure) pro migraci do cloudu.
Pokud jste tedy CAF použili při přechodu do cloudu, tak se můžete pochválit, že jste šli správnou cestou a Governance již určitě nějakým způsobem řešíte. Pokud ne, tak jsou pro vás dobrým pomocníkem příručky pro nasazení správného řízení – Governance, které jsou rozděleny do dvou skupin:
Standartní Governance průvodce – příručka pro většinu organizací založená na počátečním modelu s dvěma subskripcemi pro nasazení ve více regionech. Nezahrnuje řešení pro veřejné a vládní organizace.
Obě příručky přináší ty nejlepší zkušenosti a postupy, které se daly během vývoje správy a řízení zdrojů vysledovat. V zásadě popisují postupy pro fiktivní organizace, které mají určité cíle a jak jich dosáhnout co nejefektivněji. Nasazení právě té správné Governance pro vaši organizaci vám může nyní připadat velmi obsáhlé a složité, nicméně jak jsem na začátku zmínil, je potřeba postupovat po malých částech a postupně přidávat další a další části pro kompletní správu a řízení zdrojů. Startovacím bodem by měly být následující tři oblasti:
Následované tímto implementačním procesem:
Pro přidávání dalších částí, například při změně business procesů nebo zvýšení bezpečnosti či snížení nákladů je vhodné začlenit tyto další oblasti:
Pokud jste dočetli až sem, tak vás evidentně téma Governance zaujalo, což je velmi dobře, protože i přes značné úsilí stojí za to budovat smysluplné prostředí se snažíš správou a řízením zdrojů. Každopádně před každou implementací je vhodné promyslet možná rizika před velkými změnami. A jedna rada na závěr, pokud si nevíte rady a netroufáte si na nasazení Governance ve vaší organizaci, svěřte tuto problematiku do rukou odborníků, kteří vás provedou a dostanou k vašemu cíli.
