ZüriSoft

Smart starten: Azure Policy für Ihr erstes Azure Setup

Wie Azure Policy Leitplanken zu einem brandneuen Azure-Abonnement hinzufügt, bevor sich die Ressourcen unkontrolliert ausbreiten.

Lassen Sie Azure Policy Ihr erstes Azure Setup leiten 🛡️

Ein brandneues Azure subscription zu erstellen fühlt sich wunderbar sauber an: leere Ressourcengruppen, ein aufgeräumtes virtuelles Netzwerk und Kosten, die noch bei CHF 0 stehen. Dann passiert das echte Leben. Ein Teammitglied startet eine schnelle Demo-VM in East US, eine Testdatenbank wird nie gesichert, und die erste Rechnung sieht bereits beunruhigend aus.

Azure Policy bringt Ordnung, bevor sich die Ressourcen unkontrolliert ausbreiten. Mit einem kleinen Satz von Leitplanken können Sie jede bestehende und zukünftige Ressource innerhalb der von Ihnen gewählten Grenzen halten – ohne benutzerdefinierte Skripte, ohne hektische Aufräumaktionen.

Ein kurzer Umweg: Was Azure Policy ist (und was nicht)

Stellen Sie sich Azure Policy als unermüdlichen Schiedsrichter vor, der die von Ihnen geschriebenen Regeln kennt und sie in Echtzeit durchsetzt.
Es blockiert keinen Netzwerkverkehr wie eine Firewall und sammelt keine Metriken wie ein Monitoring-Tool.
Stattdessen unterzieht es jede Ressource einem schnellen Quiz:

"Sind Sie in der Liste der genehmigten Regionen?"
"Tragen Sie das obligatorische Kostenstellen-Tag?"
"Haben Sie die tägliche Sicherung aktiviert?"

Wenn die Antwort ja ist, winkt Azure Policy die Ressource durch.
Wenn sie nein ist, kann es auf drei Arten reagieren:

  • Audit – protokolliert den Verstoss, damit Sie ihn im Compliance-Dashboard sehen.
  • Deny – stoppt das Deployment, bevor es landet.
  • Modify/DeployIfNotExists – behebt das Problem still und heimlich vor Ort (z.B. durch Hinzufügen des fehlenden Tags).

Und alle paar Stunden durchläuft die Engine alles, was Sie bereits gebaut haben, und sucht nach Abweichungen, die Sie nicht einmal bemerkt haben. Es ist Governance, die niemals schläft – während Sie es endlich können.

Von Rot zu Grün – Ihr erster Nachmittag mit Policy

Zurück in unserem kleinen Setup ist das erste Experiment so einfach wie das Öffnen der Built-in Policies-Galerie und die Auswahl von "Allowed locations". In dem Moment, in dem Sie auf Assign klicken, wird jede nicht-schweizerische Ressource das Compliance-Dashboard hellrot färben.
Ein Klick später führen Sie Remediation aus und beobachten, wie Azure konforme Ressourcen migriert oder die kennzeichnet, die menschliche Aufmerksamkeit benötigen.

Sie haben keine einzige Zeile Code geschrieben, dennoch hat die Umgebung jetzt Leitplanken.
Noch besser: Sie können dieses Dashboard ausdrucken, in eine Präsentation einbauen und Ihrem Chef konkreten Beweis zeigen, dass die Cloud unter Kontrolle ist.

Wenn Regeln auf die Realität treffen: Die Macht der Ausnahmen

Natürlich liebt das echte Leben Sonderfälle. Angenommen, ein altes Finanzsystem funktioniert nur auf einer veralteten VM-SKU, die Sie gerade verboten haben.
Das Löschen der Policy würde Ihren Fortschritt zunichtemachen – aber die VM nicht-konform zu lassen, verstopft das Dashboard.

Der elegante Mittelweg ist eine Ausnahme: ein winziges JSON-Objekt, das einer Ressource eine temporäre Befreiung bis zum 31. Dezember gewährt. Es dokumentiert warum die Befreiung existiert und wer für die Behebung verantwortlich ist, dann setzt es die Regel automatisch durch, wenn das Datum eintrifft.

Neue Tricks von der Build 2025

Microsoft schärft das Tool weiter. Auf der Build 2025 haben sie benutzerbereichsbasierte Ausnahmen und Anrufertyp-Regeln vorgestellt. Bald werden Sie Entwicklern erlauben können, sich selbst eine kurze Befreiung für einen Proof of Concept zu gewähren, ohne die Schleusen für jede Ressource zu öffnen.

Noch besser: SSH Posture Control ist gerade in die General Availability gegangen. Zwei eingebaute Policies können jetzt die sshd-Konfiguration jeder Linux-VM auditieren – und, wenn Sie möchten, härten –, einschliesslich Maschinen, die über Azure Arc verbunden sind. In der Praxis bedeutet das, dass Passwort-Authentifizierung verboten und schlüsselbasierte Anmeldung flottenweit in Minuten durchgesetzt werden kann.

Mit Policy im Alltag leben

Sobald Sie immer verfügbare Compliance geschmeckt haben, ist es schwer zurückzugehen. Jeder neue Tag, den Sie vorschreiben, oder jede Sicherung, die Sie durchsetzen, wird zu einer weiteren Schicht des stillen Schutzes. Policy erzeugt einen stetigen Rhythmus:

  • Deployen Sie eine Regel im audit-Modus,
  • beobachten Sie, was brechen würde,
  • wechseln Sie zu deny, sobald Sie sicher sind.

Da Bewertungen kontinuierlich laufen, wird jede Abweichung früh erkannt, lange bevor sie zu einem kostspieligen Vorfall wird.

Das Fazit

Für ein grundlegendes Azure-Setup benötigen Sie keine Armeen von Skripten oder teure Drittanbieter-Tools, um organisiert zu bleiben.
Beginnen Sie mit Azure Policys Built-ins, lassen Sie das Dashboard Ihre Aufräumarbeiten leiten und fügen Sie Ausnahmen statt Sonderregeln hinzu. Während Ihre Umgebung wächst, wird dieselbe Engine mit Ihnen skalieren – und neue Funktionen wie SSH-Härtung und benutzerspezifische Befreiungen aufnehmen.

Cloud-Ausbreitung gelöst, Rechnungen gezähmt, Auditoren beeindruckt – alles in der Zeit, die es braucht, um einen Kaffee zu trinken.

Referenzen

  1. Microsoft Learn – Azure Policy overview
  2. Microsoft Learn – Policy exemption structure
  3. Microsoft Tech Community – Everything New in Azure Governance
  4. Microsoft Tech Community – SSH Posture Control for Linux is now GA!

About the Author

Zurisoft Team is a contributor to the ZüriSoft blog.

SharePrint