Azure Policy: Governance und Compliance-Durchsetzung für kleine Unternehmen in Berlin
Mit wachsenden Azure-Umgebungen wächst auch das Risiko der Konfigurationsabweichung. Ein Entwickler richtet ein Speicherkonto ohne Verschlüsselung ein. Eine Ressourcengruppe wird ohne Cost-Center-Tag erstellt. Eine virtuelle Maschine wird mit einer öffentlichen IP bereitgestellt. Ohne eine Governance-Schicht häufen sich diese Abweichungen still an, bis ein Sicherheitsaudit, ein Kostenspike oder eine Compliance-Prüfung sie Wochen oder Monate später aufdeckt. Azure Policy ist die native Governance-Engine, die Konfigurationsabweichungen verhindert, bevor sie auftreten: Sie evaluiert jede Ressourcenbereitstellung gegen einen definierten Regelsatz und kann nicht konforme Konfigurationen ablehnen, prüfen oder automatisch beheben. Für ein Berliner Kleinunternehmen mit Produktions-Workloads in Azure ist Azure Policy der Unterschied zwischen einer regierten, revisionssicheren Umgebung und einer ad-hoc-Umgebung, die Compliance-Risiken schafft.
Wie Azure Policy funktioniert
Azure Policy arbeitet über Policy-Definitionen — JSON-Regeln, die eine Compliance-Bedingung und den Durchsetzungseffekt beschreiben. Policy-Definitionen werden in Policy-Initiativen (auch Policy Sets genannt) gruppiert. Initiativen werden einem Bereich zugewiesen: einer Verwaltungsgruppe, einem Abonnement oder einer Ressourcengruppe. Jede Ressource innerhalb dieses Bereichs wird gegen alle zugewiesenen Policy-Definitionen ausgewertet. Der Auswertungszyklus läuft kontinuierlich — neue Ressourcen werden bei der Bereitstellung ausgewertet, und vorhandene Ressourcen werden alle 24 Stunden auf Abweichungen gescannt.
Policy-Effekte
| Effekt | Verhalten | Anwendungsfall |
|---|---|---|
| Deny | Blockiert die Ressourcenbereitstellung, wenn die Bedingung nicht erfüllt ist | Verschlüsselung erzwingen, öffentliche IPs blockieren, erlaubte Regionen einschränken |
| Audit | Erlaubt die Bereitstellung, protokolliert aber Nicht-Konformität | Bestehende Ressourcen melden, ohne Bereitstellungen zu blockieren |
| Append | Fügt bei der Bereitstellung Felder zu einer Ressource hinzu (z. B. ein Tag) | Ressourcen automatisch mit Cost-Center- oder Umgebungsbezeichnung taggen |
| Modify | Fügt Eigenschaften zu bestehenden und neuen Ressourcen hinzu oder aktualisiert sie | Diagnoseeinstellungen aktivieren, Tags über eine bestehende Flotte anwenden |
| DeployIfNotExists | Stellt eine Begleitressource bereit, wenn sie nicht vorhanden ist | Log Analytics-Agent automatisch bereitstellen, Defender for Cloud auf neuen VMs aktivieren |
| AuditIfNotExists | Prüft eine Ressource, wenn eine zugehörige Ressource fehlt | VMs ohne Defender for Endpoint oder Log Analytics-Erweiterung melden |
Integrierte Policy-Initiativen für Sicherheit und Compliance
Azure stellt Hunderte von integrierten Policy-Definitionen und mehrere vorgepackte Initiativen für Sicherheit und Compliance bereit. Wichtige Initiativen für Berliner Kleinunternehmen:
- Microsoft Cloud Security Benchmark (MCSB): Die von Defender for Cloud standardmässig zugewiesene Initiative. Deckt Speicherverschlüsselung, Netzwerkexposition, Identität, Protokollierung und Schlüsselverwaltung ab — die grundlegende Sicherheitsbasis.
- ISO 27001:2013: Ordnet Azure-Kontrollen den ISO-27001-Anforderungen zu. Nützlich für Unternehmen, die eine ISO-27001-Zertifizierung anstreben oder ISO-Ausrichtung gegenüber Unternehmenskunden nachweisen müssen.
- DSGVO: Ordnet Azure-Konfigurationen den DSGVO-Pflichten zu — besonders relevant für Datenresidenz-, Verschlüsselungs- und Zugriffssteuerungsanforderungen gemäss Artikeln 25 und 32.
Praktische Policy-Konfiguration für eine kleine Azure-Umgebung
- Microsoft Cloud Security Benchmark-Initiative zuweisen: Im Azure-Portal → Policy → Zuweisungen → Initiative zuweisen. Die Microsoft Cloud Security Benchmark-Initiative im Abonnement-Bereich zuweisen. Den Effekt für die ersten 30 Tage auf Audit setzen, um eine Basislinie ohne Blockierung von Bereitstellungen zu etablieren.
- Datenresidenz erzwingen: Die integrierte Policy Erlaubte Orte auf Abonnementebene mit Effekt Deny und erlaubten Orten West Europa und Nord Europa zuweisen. Dies verhindert die Bereitstellung von Ressourcen ausserhalb von EU-Regionen — direkt relevant für DSGVO-Datenresidenzpflichten.
- Speicherkontoverschlüsselung und HTTPS erzwingen: Sichere Übertragung zu Speicherkonten sollte aktiviert sein (Effekt: Deny) zuweisen. Diese Policy verhindert die häufigste Speicherkonfigurationsfehler in kleinen Azure-Umgebungen.
- Ressourcen-Tagging erzwingen: Eine benutzerdefinierte Policy-Definition erstellen (oder die integrierte Tag und Wert für Ressourcen erforderlich verwenden), um bestimmte Tags zu verlangen: Kostenstelle, Umgebung, Eigentümer — auf allen Ressourcengruppen. Den Append-Effekt verwenden, um neue Ressourcen automatisch zu taggen.
- Defender for Cloud auf neuen Abonnements auto-aktivieren: Die Initiative Azure Defender für Abonnements konfigurieren mit dem DeployIfNotExists-Effekt zuweisen. Dadurch wird sichergestellt, dass jedes neue Abonnement in Ihrem Mandanten automatisch Defender for Cloud im Standard-Tarif aktiviert hat.
- Überwachen und beheben: Das Policy → Compliance-Blade wöchentlich prüfen. Für nicht konforme vorhandene Ressourcen das Feature Bereinigungsaufgabe verwenden. Compliance-Berichte können als Prüfungsnachweis exportiert werden.
Azure Policy vs. Defender for Cloud-Empfehlungen
Defender for Cloud zeigt Empfehlungen basierend auf Azure Policy-Auswertungen an — die beiden Systeme sind eng gekoppelt. Jede Defender for Cloud-Empfehlung wird durch eine Policy-Definition unterstützt. Die direkte Zuweisung der Microsoft Cloud Security Benchmark-Initiative in Azure Policy gibt dieselbe Compliance-Ansicht wie das Defender for Cloud-Regulierungs-Compliance-Blade, jedoch mit mehr Kontrolle über Bereich, Ausnahmen und Durchsetzungseffekte. Für Unternehmen, die bereits Defender for Cloud verwenden, ist der praktische Ausgangspunkt, die kritischsten Defender-Empfehlungen zu identifizieren, die entsprechenden Policy-Definitionen zu finden und ihre Effekte von Audit auf Deny für die risikoreichsten Konfigurationen umzustellen.
IT Experts Berlin konfiguriert Azure Policy Governance-Baselines als Teil von Azure-Infrastrukturaufbauten für Berliner Unternehmen. Kostenloses IT-Assessment anfordern, um Ihre aktuelle Azure-Governance und Compliance-Position zu überprüfen.
Weiterfuehrende Artikel
- Microsoft Defender for Cloud: Defender for Cloud nutzt Azure Policy-Initiativen zur Sicherheitsbaseline-Durchsetzung – CSPM-Empfehlungen und Policy Governance gemeinsam konfigurieren
- Azure Monitor und Log Analytics: Azure Policy-Compliance-Daten in den Log Analytics-Arbeitsbereich exportieren, um Richtlinienvierstöße mit KQL zu analysieren und Compliance-Trends zu verfolgen
- Azure Key Vault: Azure Policy-Initiativen zur Durchsetzung von Key Vault-Sicherheitsstandards nutzen – Soft Delete, Purge Protection und private Endpunkte auf Abonnementebene erzwingen