Azure AZ-900 - blog 3

Ingediend door Dirk Hornstra op 12-oct-2020 14:04

Tijd om met het volgende blok door te gaan op aka.ms/azfunpath. Dit blok gaat over beveiliging, privacy, compliance en vertrouwen van Microsoft Azure onderzoeken (link). In mijn planning zou ik nu "al' klaar zijn met alle vier de blokken, maar doordat ik samenvattingen maak, de opdrachten uitvoer, ben ik nu net over de helft.

Net als bij het andere blok is het eerste blok "Get started with Azure Fundamentals" al afgerond, dat scheelt weer. Vervolgens gaan we door met Secure Network Connectivity (link).
Het eerste hoofdstuk is "defense in depth". Het is een serie van mechanismen wat het ontvreemden van informatie zo moeilijk mogelijk moet maken. Daarbij wordt gebruik gemaakt van de standaard aanpak op basis van confidentiality, integrity en availability (CIA).

  • Confidentiality -  Het principe van het laagste toegangsniveau blokkeert de toegang tot informatie die alleen expliciet voor bepaalde gebruikers toegankelijk wordt gemaakt. Bescherming van wachtwoorden, remote toegangscertificaten en e-mails.
  • Integrity - Het voorkomen dat er niet geautoriseerde wijziging in informatie aangebracht kan worden (zowel in "rust" als in bewerking). Standaard principe is dat de verzender een hash van de data meestuurt, de ontvanger voert een calculatie uit op de data die dezelfde hash moet genereren.
  •  Availability - Zorgt dat services beschikbaar zijn voor geautoriseerde gebruikers. DOS aanvallen zijn de vaakst voorkomende oorzaken van niet beschikbaar zijnde services/diensten.


Om bij de data te komen zijn er een aantal lagen omheen gebouwd die ieder hun eigen functie hebben.

  • Fysieke beveiliging is de eerste horde, de bescherming van de computer hardware in het datacenter.
  • Identity en access controls, hiermee wordt de toegang tot de infrastructuur en het doorvoeren van wijzigingen afgevangen.
  • Perimeterlaag, deze gebruikt een DDos protection filter om grote aanvallen te filteren voor ze een denial of service kunnen veroorzaken.
  • Netwerklaag, beperkt communicatie tussen resources met behulp van segmentatie en toegangscontrole.
  • Compute-laag, beveiligt de toegang tot Virtuele Machines.
  • Applicatie-laag zorgt dat applicaties veilig zijn en geen kwetsbaarheden bevatten.
  • Data, bijna altijd zijn hackers op jacht naar de data, welke opgeslagen is in een database, op schijft in een VM, in een SaaS applicatie zoals Microsoft 360 of in de cloud-opslag. Het is de verantwoordelijkheid van degene die de data opslaat dat dit veilig gebeurt. Wachtwoorden als leesbare tekst opslaan kun je inmiddels onder de noemer "misdadig' opslaan.


Mocht je meer details willen lezen, hier staat nog een iets uitgebreidere toelichting: link.

De beveiliging/security valt onder "shared security". Azure heeft bepaalde taken op zich genomen, maar andere onderdelen liggen bij de klant. Zo staat er een tabel waarin dit uitgewerkt staat;

  IaaS PaaS SaaS
Data governance en rights management klant klant klant
Client endpoints klant klant klant
Accounts en toegangsmanagement klant klant klant
Identiteit en directory infrastructuur klant Azure/klant Azure/klant
Applicatie klant Azure/klant Azure
Netwerk controls Klant Azure/klant Azure
Operating System Klant Azure Azure
Fysieke hosts Azure Azure Azure
Fysiek netwerk Azure Azure Azure
Fysiek datacenter Azure Azure Azure


De Azure Firewall (link) houdt op basis van ip-adres en poort verkeer tegen (of laat het door). De firewall biedt hoge beschikbaarheid, onbeperkte cloud-schaalbaarheid, inbound- en outbound filterregels en Azure Monitor Logging. Naast deze firewall biedt Azure via de Azure Application Gateway (link) ook nog een Web Application Firewall aan (WAF): link. Deze biedt inbound bescherming tegen bekende zwakke plekken en exploits.

Met een Distributed Denial Of Service (DDOS): link, wordt geprobeerd om met een grote hoeveelheid data de toevoer tot jouw services dicht te laten slibben. Azure heeft hier een eigen service voor, de Azure Distributed Denial Of Service Protection, die in 2 varianten wordt aangeboden: basic. Deze dienst is altijd actief, houdt het verkeer in de gaten en lost real-time problemen met aanvallen op, dezelfde werking als de dienst die Microsoft zelf gebruikt om de online services te beveiligen.
De 2e variant is standard, deze service is speciaal gericht op Azure virtuele netwerken.

De standaardbeveiliging zou de problemen met "stortvloed van data" moeten kunnen oplossen, aanval op basis van protocol (er wordt geprobeerd een zwakke plek in layer 3 en 4 van de protocol stack te misbruiken en resource (application) layer attacks. Hiermee wordt geprobeerd datapakketten van web applicaties aan te vallen om zo het verkeer tussen hosts te verstoren.

Met Network Security Groups (link) kun je op basis van bron, doel, ip-adres, poort en protocol regels maken die toegang toestaan of weigeren. Je kunt de prioriteit instellen (die loopt van 100 naar 4.096 waarbij lagere nummers een hogere prioriteit hebben).

Met Application Security Groups (link) kun je gelijksoortige servers met dezelfde filtering-instellingen in één groep plaatsen, zodat je niet voor ieder per stuk de regels in hoeft te stellen.

Kies je Azure netwerk beveiligingen;

Perimeter laag; gebruik de DDos protectie van Azure en de Azure Firewall om je met alerts te informeren als er wat aan de hand is.

Netwerk laag: segmenteer je netwerk(en) en zorgt voor toegangscontrole, weiger toegang standaard, beperk inbound internet-toegang en beperk outbound waar nodig, als je verbinding(en) maakt met een eigen netwerk, zorg dat die verbinding veilig is.

Combineer diensten, bijvoorbeeld network security groups en Azure Firewall. Of de Application Gateway WAF en de Azure Firewall.

In de opvolgende walk-through maak je een Virtual Machine aan, zet je de toegang via RDP open (maar dat heb ik eerder al gedaan) en wordt uitgelegd hoe je de internet-toegang naar buiten (Outbound) kunt blokkeren. Niet heel spannend, ik sla deze acties over.

Dan komt de lijst met vragen, allemaal goed, door met het volgende blok.

Dit gaat over identiteit en toegang (link). Daarmee zit je al gauw in het deel van firewalls, netwerk en fysieke toegangscontrole. Tenminste, dat was het vroeger. Inmiddels zijn er meer risico's doordat mensen hun eigen apparatuur meenemen (Bring You Own Device), mobiele apps en applicaties in de cloud. Identiteit is daardoor essentieel geworden. Door een correcte validatie en het toewijzen van privileges moet de boel dichtgetimmerd zijn.

Je hebt authenticatie en authorisatie. Authenticatie is de uitdaging waarop gezegd wordt: toon aan dat je bent wie je zegt te zijn. Authorisatie is de daarop volgende stap, bepalen wat de geauthentiseerde persoon wel en niet mag. Deze types worden soms afgekort, authenticatie is AuthN en authorisatie is AuthZ.

Azure Active Directory (link). Deze cloud-service houdt zich bezig met identiteiten en toegangsbeheer. Het kan gebruikt worden bij externe resources, zoals Office 365, het Azure portal en andere applicaties als een SaaS. Ook voor interne resources kan het gebruikt worden, apps op je bedrijfsnetwerk en intranet.

Azure AD biedt de volgende diensten:

  • Authenticatie. Het controleren van je identiteit om je toegang te geven tot applicaties en resources, functionaliteit bieden zoals wachtwoord-reset,  multi-factor authenticatie (MFA), een zelf samengestelde verboden wachtwoordenlijst en slimme "blokkeer" diensten.
  • Single sign-on (SSO). Dit biedt de mogelijkheid aan gebruikers om maar 1 ID en wachtwoord te hoeven onthouden om toegang te krijgen tot meerdere applicaties. 1 identiteit zit gekoppeld aan een gebruiker, waardoor het beveiligingsmodel een stuk simpeler wordt. Als een gebruiker een andere rol krijgt of ontslag neemt/krijgt hoeft alleen die identiteit aangepast te worden.
  • Applicatiebeheer. Je kunt je cloud- en bedrijfsapplicaties beheren Azure AD application proxy, single Sign on, de My apps portal (ook wel Access panel genoemd) en SaaS apps.
  • Business to business (B2B) identity services. Beheer je gastgebruikers en externe partners terwijl je controle houdt over je eigen bedrijfsgegevens/data.
  • Business-to-customer (B2C) identity services. Beheers hoe gebruikers zich kunnen aanmelden, inloggen en beheer hun profielen als ze jouw apps gebruiken.
  • Device management. Beheer hoe je cloud of apparaten binnen je bedrijfsnetwerk toegang krijgen tot bedrijfsgegevens.


Er zijn een aantal rollen waar Azure AD voor bedoeld is:

  • IT administrators. Deze administrators kunnen met Azure AD de toegang tot apps en resources beheren gebaseerd op de business requirements van het bedrijf.
  • App developers. Ontwikkelaars kunnen Azure AD gebruiken om Single Sign-on functionaliteit in een app aan te bieden, om de app te laten werken met reeds bestaande credentials en andere functionaliteit.
  • Microsoft 365, Microsoft Office 365, Azure, of Microsoft Dynamics CRM Online subscribers. Deze mensen gebruiken al Azure AD. Elke tenant van deze producten is een Azure AD tenant.


Met Single Sign-on kun je in Azure meerdere data sources combineren in een beveiligingsgrafiek. Hier kun je "threat analysis" door laten uitvoeren en real-time identity beveiliging doorvoeren.

Met Azure Multi-Factor Authentication (link) kun je naast gebruikersnaam/wachtwoord ook nog 2 of meer elementen gebruiken om je te identificeren. Dat is op basis van "iets dat je weet", "iets dat je hebt" of "iets dat je bent". Naam van je hond, ID USB-stick, iris-scan. MFA wordt bij een aantal diensten aangeboden:

  • Azure Active Directory premium licenses. Deze licentie geeft je de mogelijkheid om gebruik te maken van Azure Multi-Factor Authentication Service (cloud) of Azure Multi-Factor Authentication Server (binnen je eigen bedrijf).
  • Multi-factor authentication for Microsoft 365. Een deel van MFA mogelijkheden is beschikbaar als deel van je Microsoft 365 abonnement.
  • Azure Active Directory global administrators. Omdat "globale administrator accounts" de moeite waard zijn om te hacken is ook hier een deel van de Azure Multi-Factor Authentication mogelijkheden beschikbaar om dit type account te beschermen.


Op het volgende scherm volgen de vragen. Alles goed.

Door met review security tools and features, link.
We beginnen met het Azure Security Center (link). Deze service houdt in de gaten welke bedreigingen er zijn voor jouw apps in de cloud, maar ook die in je bedrijfsnetwerk.

  • Het security center kan je aanbevelingen doen gebaseerd op je configuratie, resources en netwerken.
  • Beveiligingsinstellingen monitoren, zowel in de cloud als in je bedrijfsnetwerk en automatisch benodigde instellingen toepassen op nieuwe services als deze online gaan.
  • 24-7 al je services monitoren en automatisch security asessments uitvoeren om potentiële kwetsbaarheden te vinden voor ze uitgebuit kunnen worden.
  • Gebruik machine learning om malware te detecteren en blokkeren, voordat deze geïnstalleerd wordt op je virtuele machines en services. Je kunt ook een lijst met toegestande applicaties aanleveren zodat alleen die uitgevoerd kunnen/mogen worden.
  • Analyseer en identificeer potentiële inound aanvallen en help de bedreigingen en activiteit na de hack te onderzoeken.
  • Bied just-in-time toegangscontrole voor poorten, waarmee het gedeelde waarop aanvallen uitgevoerd kunnen worden gereduceerd worden door alleen benodigd verkeer op je netwerk toe te staan.


Je hebt 2 versies, de free versie. Beschikbaar als onderdeel van je Azure-abonnement. Deze kan assessments en aanbevelingen alleen op Azure resources uitvoeren. Of je gaat voor de standard versie. Dan heb je de volledige suite met ook continuous monitoring, threat detection, just-in-time access control for ports en meer. Als je daarvan gebruik wilt maken moet je upgraden naar de standard tier, wat alleen door iemand met de rol  Subscription Owner, Subscription Contributor of Security Admin gedaan kan worden. De eerste 30 dagen proefversie zijn gratis, daarna moet je betalen. Eerst wordt je doorverwezen naar deze pagina: link, maar uiteindelijk moet je naar deze pagina: link, want het is Azure Defender die dan de acties doet en waar het prijskaartje aan zit.

Bij een security-melding volg je de stappen, Detect (het security dashboard laat rode lampjes zien), Assess (ga uitzoeken wat die melding precies betekent, probleem met webserver, probleem met SQL server), Diagnose (gebruik de tips van het Security Center om het probleem op te lossen). Volgende stappen zijn Stabalize en Close.

Je hebt security policies en recommendations. De security policy kan zijn dat een virtuele machine niet via internet met RDP benaderbaar is. Security Center kan je daar tips over geven. De planning en operation guide geeft je hier meer informatie over: link.

De Key Vault (link) is een cloud service waar je geheimen van applicaties opgeslagen kunnen worden. Deze service doet dit door het op te slaan in een centrale locatie, daar wordt het afgeschermd door beveiligde toegang, rechten controle en het loggen van toegang. Waar kun je het allemaal voor gebruiken?

  • Secrets management. Sla hier je tokens, wachtwoorden, certificaten, API sleutels en andere geheimen  op.
  • Key management. Key Vault kan als een sleutel beheersysteem gebruikt worden. Hiermee wordt het makkelijker om encryptie-sleutels aan te maken en te beheren om je data te encrypten.
  • Certificate management. Met Key Vault kun je jouw publieke en private Secure Sockets Layer/ Transport Layer Security (SSL/ TLS) certificaten provisionen, beheren en deployen voor Azure en je andere intern verbonden resources.
  • Kan geheimen opslaan die ondersteund worden door Hardware Security Modules (HSMs). De geheimen en sleutels kunnen beschermd worden door software of FIPS 140-2 Level 2 validated HSMs.

 

Wat zijn de voordelen?

  • Centrale locatie van applicatiegeheimen. Hiermee kun je de distributie goed beheren en verminder je de kans dat deze per ongeluk gelekt worden.
  • Sla geheimen en sleutels veilig op. Azure gebruik de industrie-standaarden qua algoritmes, sleutellengte, HSMs en vereist goede authenticatie en authorisatie.
  • Monitor de toegang en het gebruik. Je hebt duidelijk inzicht wat anders verborgen zou blijven.
  • Simpele administratie. Hiermee kun je makkelijker certificaten van CA's uitrollen. Je kunt upscalen en content repliceren binnen regio's en standaard certificate managementtools gebruiken.
  • Integratie met andere Azure services. Koppel het met storage accounts, container registers, event hubs en nog veel meer Azure services.

Aanvullend is er nog een link om dieper in de materie te duiken: configureren en beheren van geheimen in Key Vault: link.

Hierna volgt een walk-through om zelf een Key Vault aan te maken. Aanmaken, secret toevoegen, klaar. 

Het volgende punt is Azure Information Protection (link), door te labelen kunnen documenten en mails geclassificeerd worden (en optioneel beschermd). Dit labelen kan automatisch (door administrators die regels en condities ingesteld hebben), handmatig (door gebruikers), of met een combinatie van beide (gebruikers worden begeleid door aanbevelingen).

We zien het voorbeeld waarin bij het opslaan van een document waar een creditcard-nummer in staat de aanbeveling wordt gegeven om het bestand aan een label te koppelen.

Het volgende deel is Azure Advanced Threat Protection (link). Uit welke componenten bestaat dit onderdeel?

  • Azure Advanced Threat Protection (ATP) portal. Dit onderdeel heeft een eigen portaal, waar je verdachte activiteit kunt monitoren en actie kunt ondernemen. IN Deze portal kun je een Azure ATP instantie aanmaken en de data bekijken die van Azure ATP sensors ontvangen wordt. Ook kun je verdachte activiteiten in je netwerkomgeving monitoren, beheren en onderzoeken.
  • Azure Advanced Threat Protection (ATP) sensor. Deze sensoren worden rechtstreeks geïnstalleerd op je domain controllers. De sensor monitort het verkeer zonder een dedicated server of poort spiegeling nodig te hebben.
  • Azure Advanced Threat Protection (ATP) cloud service. Azure ATP cloud service wordt uitgevoerd op de Azure infrastructuur en kan uitgevoerd worden in Amerika, Europa en Azië. ATP is verbonden met Microsofts security graph.
  • Op deze pagina's zijn de prijzen te vinden: link.


Vervolgens komt er weer een lijst met vragen (2 stuks). Beide goed beantwoord.

We gaan door met het volgende blok, describe Azure governance methodologies (link). Dit gaat over het beheer binnen Azure, dat niet iedereen tenants aan kan maken e.d.
We beginnen met de Azure Policy (link), dat is een service waarmee je policies (richtlijnen, werkwijzes) kunt aanmaken, toewijzen en onderhouden. Azure heeft zelf een aantal standaad policies op het gebied van Storage, Networking, Compute, Security Center en Monitoring. Je kunt het ook integreren met DevOps (benieuwd of de policy "niet deployen op vrijdag" daar ook bij zit :)  ).

Het implementeren van Azure policies. We krijgen een aantal voorbeelden:

  • Allowed storage account SKUs. Hiermee kun je de grootte tussen bepaalde limieten stellen. Als je weet dat 500 GB het maximum is wat je wilt betalen, ga je SKU's die hierboven vallen automatisch weigeren.
  • Allowed resource type. Stel dat je alleen containers wilt gebruiken en geen Virtuele Machines. Dan kun je die op de Deny-list zetten.
  • Allowed locations. Om te voldoen aan Europese wetgeving wil je de resources alleen in West Europa hebben. Je kunt met de policy dit afdwingen.
  • Allowed Virtual Machine SKUs. Hiermee geef je aan wat voor Virtual Machine SKU's gedeployed mogen worden.

Je hoeft niet alles zelf te bedenken. Raadpleeg ook eens de Policy Sample page: link.

Als je een policy aan een resource-groep toewijst, dan geldt het ook voor alle onderdelen die de resource-groep bevat (dat is de scope). Je kunt met een subscope hier weer onderdelen uit halen.

Elk uur worden je policies gevalideerd. Je zou in het verleden een resource aangemaakt kunnen hebben die nu niet aan je policy voldoet. Deze zal in de rapportage naar voren komen.

We gaan door met initiative definitions. Dat is een groep van policy definities. Je zou een intiatief met de naam "monitoring door Security Center" kunnn hebben die de policy "monitor unencrypted SQL servers", policy "monitor OS vulnerabilities" en policy "monitor missing endpoint protection" heeft. In de portal zit onder Authoring het kopje "Assignments", daar kun je dit deel beheren.

In de walk-through gaan we een policy aanmaken. Omdat ik de Nederlandse versie heb, ga ik naar Beheer en Governance - Beleid. In het voorbeeld zie ik een grafische interface, maar ik krijg de JSON te zien. Ik heb even gespiekt op deze pagina: link.  Het blijkt dat ik verkeerd zat, ik zat bij Definities, maar je moet dus kiezen voor Toewijzingen.

Het volgende deel gaat over Role Based Access Control (link). Alle Azure gebruikers krijgen deze functionaliteit, zonder extra kosten. Het scherm toont Access Control (IAM), ik kan dat zo niet vinden in mijn versie. Via Azure Active Directory kan ik ook bij gebruikers en rollen komen.

We krijgen een walk-through. Omdat het er bij mij wat anders uitziet, maar even kijken of ik de case ook werkend krijg. Ah juist, binnen de resource-groep zie ik wel de Access Control (IAM). Hier moet je dus zijn! In het voorbeeld staat "virtual machine contributor", dat wordt dus "inzender voor virtuele machines". In het voorbeeld is het "create role", dat wordt "Roltoewijzing maken".  Dit gaat allemaal goed.

Het volgende item is Resource Locks (link). Deze zijn ook in de video's benoemd. Hiermee kun je een resource groep "read-only" maken en/of "niet verwijderbaar".
In de walk-through kun je de locks toevoegen en testen. Ik geloof wel dat dit goed gaat en ga verder.

Het volgende deel gaat over blueprints (link). In je resource-groep zit onder beleid blauwdrukken (wat verwijst naar: link). Hiermee kun je roltoewijzingen instellen, policy toewijzingen.

Het volgende deel gaat over "subscription governance". Je kunt hier nog wat lezen over de subscription limits: link. Je hebt billing, access control en subscription limits.

Billing: je kunt rapporten maken, voor als je bijvoorbeeld een deel van de kosten door een andere afdeling "terugbetaald" moet krijgen.

Access Control: met tenants zijn zaken gescheiden (sommige klanten hebben verschillende abonnementen voor test + productie).

Subscription Limits: er zijn enkele harde limieten. In het voorbeeld wordt genoemd dat Express Route circuits maximaal 10x in een abonnement kunnen zitten. Wil je meer, dan moet er een abonnement bij.

Einde blok met vragen, alle goed beantwoord.

Daarna het blok "explore monitoring and reporting" (link). Als je jouw oplossingen gebouwd en online gezet heb, wordt het tijd om deze te monitoren.

We beginnen met tags (link). Het zijn name-value pairs waar je jouw resources metadata mee kunt geven. Hiermee kun je verschillende items uit verschillende resource groups met dezelfde tags bij elkaar harken. Er zijn wel een aantal beperkingen, niet elke resource kan tags hebben, een resource kan maximaal 50 tags hebben, storage account tot nu toe maximaal 15, maar dat wordt binnenkort ook verhoogd naar 50. Het advies wordt gegeven om, als je er meer nodig hebt, bij een tag de waarde een JSON-string te laten zijn die meerder key-value-pairs bevat. De tag-naam kan maximaal 512 karakters bevatten, de tag-value 256 karakters. Bij storage accounts is de tag-naam nog iets korter, maximaal 128 karakters. Virtual Machines en Virtual Machine Scale Sets hebben de beperking dat alle tag-namen en tag-waardes gezamenlijk maximaal 2.048 karakters mogen bevatten. En tags die je aan een resource-groep geeft worden niet overgeërfd naar de resources die onderdeel uitmaken van de resource-groep.

In de walk-through gaan we een beleidsregel instellen (dat elke resource een "company" tag met waarde moet hebben). Dat gaat allemaal goed.

Het volgende deel gaat over Azure Monitor (link). Azure Monitor vraagt de data op uit de volgende onderdelen;

  • Application monitoring data: data over de performance en functionaliteit van jouw geschreven code, onafhankelijk van het platform waar het op draait.
  • Guest OS monitoring data: data over het operating system waar jouw applicatie op uitgevoerd wordt. Dit kan in Azure zijn, andere cloud of in het bedrijfsnetwerk.
  • Azure resource monitoring data: data over de uitvoering van een Azure resource
  • Azure subscription monitoring data: data over de uitvoering en beheer van Azure abonnement, maar ook over de gezondheid en uitvoerbaarheid van Azure zelf.
  • Azure tenant monitoring data: data over de uitvoering van tenant-level Azure diensten, zoals Active Directory.


Zodra je een virtuele machine of web-app toevoegt begint Azure met monitoring: activity logs, over het aanmaken en aanpassen van resources en metrieken die je laten zien hoe de resource draait en welke resources daarbij verbruikt worden.

Door "diagnostics"  aan te zetten en een agent actief te maken om de berekeningen uit te voeren kun je die data-collectie uitbreiden. Bij het onderdeel resource settings kun je bij Diagnostics de volgende onderdelen aan of uit zetten:

  • Zet guest-level monitoring aan
  • Performance counters: verzamel performance gegevens
  • Event Logs: zet verschillende soorten event-logs aan
  • Crash Dumps: aan of uit zetten
  • Sinks: stuur je diagnostische gegevens naar andere diensten voor verdere analyse
  • Agent: configureer de instellingen voor de agent


Azure Service Health (link) is een suite met producten die je adviseren en ondersteunen als er problemen zijn met de diensten van Azure. Het kan je ook helpen met de voorbereidingen van gepland onderhoud en wijzigingen die impact hebben op de beschikbaarheid van jouw diensten.

Azure Service Health bestaat uit de volgende onderdelen:

  • Azure Status (link) toont een globaal overzicht van de gezondheid van de Azure diensten.
  • Service Health (link) biedt je een aanpasbaar dashboard waarin je de status van jouw Azure diensten in de regionen waar jij ze gebruikt kunt monitoren. Je kunt hier de active service issues, aankomend gepland onderhoud of relevantie "health" adviezen bekijken. Als event inactief worden, komen ze voor 90 dagen nog in de Health history te staan. Als laatste kun je hier zelf je eigen Health alerts aanmaken en onderhouden, die jou notificeren als er servicegerelateerde zaken zijn die jou raken.
  • Resource Health helpt je om een diagnose te stellen en ondersteuning te verkrijgen als er een Azure serviceprobleem impact heeft op jouw resources. Het toont details van de historie en de huidige status van je resources. Ook biedt het technische ondersteuning om problemen op te lossen. In tegenstelling tot Azure Status, Resource Health toont zaken de voor jou relevant zijn. Hierdoor kun je ook zelf bepalen of er problemen met een SLA geweest zijn.


Azure Monitor kan in 4 onderdelen gesplitst worden: Analyze, Respond, Visualize en Integrate.

Analyze bestaat uit:

  • Application Insight, een dienst die de beschikbaarheid, performance en gebruik van je web applicaties, of het nu in de cloud of op je bedrijfsnetwerk in de gaten houdt. Het levert data voor Log Analytics zodat je dieper inzicht krijgt in hoe je applicatie werkt. Application Insights kan fouten diagnosticeren, zonder op een gebruiker te hoeven wachten die het meldt. Application Insights bevat connection points met verschillende tools en integreert met Visual Studio om je DevOps processen te ondersteunen.
  • Azure Monitor for containers is een dienst die de performance van je containers (die via Kubernetes clusters draaien) in de gaten houdt. Het geeft je inzicht door geheugen- en processorgegevens te verzamelen via controllers, nodes en containers. De logs van de containers zelf worden ook verzameld.
  • Azure Monitor for VMs is een dienst die de gezondheid van je Windows en Linux VM's in de gaten houdt. Azure Monitor for VMs bevat ook ondersteuning voor het monitoren van performance en applicatie afhankelijkheden voor VM's die in het bedrijfsnetwerk draaien of die bij een andere cloud-provider draaien.


Respond bestaat uit:

Alerts, Azure monitor kan jouw notificaties sturen en kan ook corrigerende maatregelen nemen. Alert regels op basis van metrieken kan gewoon op een getal ingesteld staan en a-la minuut uitgevoerd worden. Ook kan het op basis van logs, dat kan met complexe logische data, soms ook van meerdere bronnen. En je hebt Autoscale. Door een minimum en maxium waarde in te stellen, kun je zorgen dat bij een hogere belasting wordt bijgeschaald en bij een lagere belasting weer afgeschaald.

Visualize bestaat uit dashboard, views en Power BI.

Integrate is het beschikbaar maken van de data, zodat ook andere systemen daarvan gebruik kunnen maken. Azure Monitor kan dat.

Hierna weer een aantal vragen en dan gaan we naar het laatste blok,  "examine privacy, compliance and data protection standards" (link).

We beginnen met "Explore compliance terms and requirements". Hoe compliant (compatibel) is de cloud provider bij het werken met gevoelige data, hoe compatibel zijn de diensten die geboden worden en hoe kan ik zaken online zetten die aan bepaalde voorwaarden moeten voldoen? We zien vervolgens een afbeelding waarin we zien welke certificeringen Azure ondersteunt, zoals veel ISO zaken, ITAR, CJIS en meer zaken die ook in de video's benoemd zijn.

Een aantal van die certificeringen worden nog even benoemd en toegelicht:

  • Criminal Justice Information Service (CJIS). Elke Amerikaanse staat of lokaal agentschap dat toegang wil tot de FBI’s Criminal Justice Information Services (CJIS) database is verplicht om te voldoen aan de CJIS Security Policy. Azure is de enige cloud provider die zich hieraan heeft gecommiteerd.
  • Cloud Security Alliance (CSA) STAR Certification. Azure, Intune en Microsoft Power BI hebben STAR Certification, wat een diepgravende extern assessment van de beveiliging van de cloudservices bevat. Het toont dat de cloud provider voldoent aan de vereisten van ISO/IEC 27001, kritische zaken die in CCM wordt besproken kan afhandelen en op basis van het STAR Capability Maturity Model for the management of activities in CCM control areas is beoordeeld.
  • European Union (EU) Model Clauses. Hiermee voldoet Microsoft aan de EU Standard Contractual Clauses dat zorg draagt voor data-transfers buiten de EU.
  • Health Insurance Portability and Accountability Act (HIPAA). De Health Insurance Portability and Accountability Act (HIPAA) is een Amerikaanse wet die beveiligde patiëntengegevens beschermt.
  • International Organization of Standards/International Electrotechnical Commission (ISO/IEC) 27018. Microsoft is de eerste cloud provider die voldoet aan de ISO/IEC 27018 code of practice, deze betreft het verwerken van persoonlijke informatie door cloud service providers.
  • Multi-Tier Cloud Security (MTCS) Singapore. Na zware assessments uitgevoerd door  MTCS Certification Body, Microsoft cloud services ontving MTCS 584:2013 Certification voor alle 3 service-diensten —Infrastructure as a Service (IaaS), Platform as a Service (PaaS), en SaaS. Microsoft was de eerste cloud provider (CSP) die deze certificering alle alle 3 diensten ontving.
  • Service Organization Controls (SOC) 1, 2, and 3. Microsoft-covered cloud diensten worden minimaal 1x per jaar door het SOC report framework gecontroleerd, door onpartijdige externe auditors. Dit gaat over data security, availability, processing integrity en confidentiality voor elke service.
  • National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF). NIST CSF is een framework van vrijwilligers dat bestaat uit standaarden, regels en best-practices om cybersecurity-gerelateerde risico's te voorkomen. Microsoft cloud services is getest door exerne partij Federal Risk and Authorization Management Program (FedRAMP) Moderate en High Baseline audits en zijn gecertificeerd op basis van FedRAMP standaarden. Aanvullend, door een assesment uitgevoerd door de Health Information Trust Alliance (HITRUST), een leidende security enprivacy standards development en accreditation organization, Microsoft 365 is gecertificeerd op basis van NIST CSF.
  • United Kingdom (UK) Government G-Cloud. De UK Government G-Cloud is een cloud computing certificering voor diensten die door de overheid gebruikt worden in Engeland. Azure heeft hier een officiële goedkeuring van de Engelse overheid voor ontvangen.


Met de AVG moet iedereen een privacy-statement hebben. Ook Microsoft heeft dit: link.

Het Trust Center is een pagina waarin Microsoft informatie en details geeft over hoe het bedrijf bezig is met veiligheid, privacy, compliance / compatibiliteit en transparantie (link).

De Service Trust Portal (link) is een portaal voor klanten die een abonnement (betaald of proef) voor Microsoft 365, Dynamics 365 en Azure. Hier zijn rapporten te vinden over de beoordelingen van de cloud-diensten van Microsoft. Je hebt er ook toegang tot compliance instructies die jou als bedrijf verder kunnen helpen en bekijk documenten waarin uitgelegd staat hoe Microsoft jouw data beveiligt.

Met de Compliance Manager kun je zien hoe de eisen van jouw bedrijf (bv. certificeringen) zich in de producten van Microsoft vertalen. Er wordt verwezen naar link, maar op die pagina wordt gezegd dat je eigenlijk Compliance Manager classic niet meer moet gebruiken, maar Compliance Manager in het Microsoft 365 compliance center (link).

In de walk-through gaan we het Trust Center bekijken. Je ziet dat de gebieden onderverdeeld zijn in Global, US Government, Industry en Regional.

Dan komt Azure Government (link), de Azure voor de overheid. Een losstaande Azure-omgeving, beheerd door gescreend personeel. Er zijn verschillen tussen de "publieke cloud" en deze cloud, dat kun je hier vergelijken: link.

En je hebt nog Azure China 21Vianet, de cloud die in China draait en daar beheerd wordt: link.

Microsoft biedt van alle cloud providers de meeste ondersteuningen! En op een speciale pagina kun je ze allemaal bekijken: link.

Daarna 2 vragen, correct beantwoord.

Hiermee heb ik het 3e blok afgerond, nog 1 te gaan!