Chez EPI-USE Labs, nous disposons de nombreuses connaissances sur Microsoft Azure, et nous avons décidé qu'il était temps de partager une partie de notre expertise, ainsi que quelques conseils et astuces. Ce blog est le premier d'une série de blogs consacrés à "tout ce qui concerne Azure".
La sécurité du cloud est un sujet sensible, et c'est souvent l'une des raisons invoquées pour empêcher tout passage au cloud, notamment lorsqu'il s'agit de migrer vos données vers Microsoft Azure. S'assurer que vos données sont conformes et sécurisées est une tâche assez complexe. Cela implique de se connecter avec les bonnes équipes en interne, mais aussi de s'assurer que vous faites confiance à vos tiers et qu'ils comprennent vos exigences en matière de sécurité et de gouvernance. Azure Policy est un service Azure gratuit qui vous permet de créer des politiques, de les affecter à des ressources et de recevoir des alertes ou de prendre des mesures en cas de non-respect de ces politiques.
Lorsque nous participons à des migrations, nous discutons des exigences du client en matière de gouvernance ; ont-ils besoin de la norme ISO 27001, par exemple, ou de la norme CIS Benchmarks ?
Il n'est pas rare qu'un client ait des exigences plus strictes pour ses déploiements de cloud publics on-premise, et il peut avoir besoin de conseils sur la façon de les cartographier sur Azure, et quelles en sont les implications.
Azure Policy est un bon point de départ pour rendre compte des exigences de conformité et y remédier dans le cadre d'un déploiement Azure. Vous pouvez appliquer des règles uniques ou des groupes de règles (initiatives). Il peut s'agir de mesures aussi simples (et utiles) que la limitation du déploiement des ressources à une région ou l'application de l'héritage des balises de ressources à des groupes de ressources afin de ne pas avoir à appliquer les balises à chaque déploiement de ressources.
Grâce aux "initiatives", vous pouvez mettre en œuvre des normes et vous assurer que les ressources suivent vos politiques d'entreprise et les exigences du RGPD. Par exemple, vous pouvez utiliser Azure Policy pour :
Azure Policy est livré avec des politiques "prêtes à l'emploi" déjà définies, mais celles-ci doivent toujours être configurées. Il est très rare que les nouvelles politiques n'aient pas besoin d'être configurées dans un cas particulier.
Si vous souhaitez en savoir plus sur la politique d'Azure, ou si vous avez besoin d'aide ou de conseils sur Microsoft Azure, n'hésitez pas à nous contacter.
Azure Policy built-ins pour la conformité réglementaire :
https://docs.microsoft.com/en-us/azure/governance/policy/samples/built-in-initiatives#regulatory-compliance
Azure Policy Quickstart:
https://docs.microsoft.com/en-us/azure/governance/policy/assign-policy-portal