Azure sikkerhet guide- Hvordan forbedre sikkerheten i Azure

Mange småbedrifter sliter med stramme budsjetter og knapp tid når de skal beskytte skyressursene sine. Tenk deg Kari i et lite IT-firma: uten egen sikkerhetsavdeling gikk hun på én måned fra kaos til dokumentert beskyttelse – uten store kostnader eller omfattende opplæring. Det er helt normalt å kjenne på usikkerhet – start med ett tiltak, så bygger du selvtillit underveis.

1. Innfør multifaktor- og passordløs autentisering

Passord alene er ikke nok. Kombiner FIDO2/passkey-sikkerhetsnøkler, Microsoft Authenticator og passordløs sign-in for phishing-resistent beskyttelse.

• Aktiver passkeys (FIDO2)
• Logg på Microsoft Entra admin-senteret.
• Gå til Authentication methods > Passkey (FIDO2) og sett togglen til Enable.
• Aktiver passordløs i Authenticator
• I samme meny, under Passwordless, slå på Microsoft Authenticator – passwordless sign-in.
• Opprett en Conditional Access-policy som krever MFA eller passordløs:
  policy.json 

{

  "displayName": "Require MFA or Passwordless",

  "state": "enabled",

  "conditions": {

    "users": { "include": ["All"] }

  },

  "grantControls": {

    "operator": "OR",

    "builtInControls": ["mfa", "passwordless"]

  }

}

• Aktiver policyen via CLI: 

az rest --method POST \

  --uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies \

  --body @policy.json

• Les mer om hvordan du oppretter en MFA-policy:
  

• Test med en prøvebruker: Bekreft at du blir bedt om FIDO2/passkey-nøkkel, Authenticator-app eller passordløs pålogging

2. Implementer rollebasert tilgang (RBAC) med egendefinerte roller

Minst mulig privilegium hindrer utilsiktet eller misbrukt tilgang.

• Definer en egendefinert leserolle for virtuelle maskiner (vm-reader-custom.json):

{ 

   "Name": "Custom VM Reader", 

   "IsCustom": true, 

   "Description": "Kun lesetilgang til VM-ressurser", 

   "Actions": [ "Microsoft.Compute/virtualMachines/read", 

  "Microsoft.Network/networkInterfaces/read" 

 ], 

   "AssignableScopes": ["/subscriptions/{subscription-id}"] 

}

• Opprett rollen med CLI:

az role definition create \

  --role-definition vm-reader-custom.json

• Bruk Privileged Identity Management (PIM) for midlertidig høyt privilegium.

• Les mer om egendefinerte roller og hvordan du oppretter dem programmatisk
  

3. Strukturér ressurser med tagging og Azure Policy

Konsistente tagger gir bedre oversikt, kostnadsfordeling og ansvar.

• Krev "Environment" og "Owner" ved opprettelse (require-tags.json):

{

  "properties": {

    "displayName": "Require Environment and Owner tags",

    "policyType": "Custom",

    "mode": "All",

    "policyRule": {

      "if": {

        "anyOf": [

          { "field": "tags.Environment", "exists": false },

          { "field": "tags.Owner", "exists": false }

        ]

      },

      "then": { "effect": "deny" }

    }

  }

}

• Opprett policy via CLI:

az policy definition create \

  --name require-tags \

  --display-name "Require Tags" \

  --rules require-tags.json \

  --mode All

az policy assignment create \

  --name enforce-tags \

  --display-name "Enforce Resource Tagging" \

  --policy require-tags \

  --scope /subscriptions/{subscription-id}

• Automatiser eller bygg policies programmatisk:
  
  

4. Kartlegg sårbarheter med Microsoft Defender for Cloud

Kontinuerlig overvåking av misconfigurations, åpne porter og manglende kryptering styrker forsvaret ditt.

• Aktiver Defender for Cloud i abonnementet ditt

• Gå til Recommendations, sorter etter risikonivå og dokumenter tiltakene

• Sett opp varsler via Logic Apps eller Event Grid

5. Automatiser backup og test gjenoppretting

Backup er først komplett når du har verifisert gjenopprettingstid (RTO) og datatap (RPO).

• Opprett Recovery Services-vault:

az backup vault create \

  --resource-group MyResourceGroup \

  --name MyBackupVault \

  --location northeurope

• Lag en backup-policy og ta daglig VM-backup:

az backup policy create \

  --vault-name MyBackupVault \

  --name DailyPolicy \

  --backup-management-type AzureIaasVM \

  --work-load-type VM \

  --policy @"daily-policy.json"

• Gjennomfør testgjenoppretting av filshare:

az backup restore restore-azurefiles \

  --vault-name MyBackupVault \

  --storage-account MyStorageAccount \

  --container-name MyContainer \

  --item-name MyFileShare \

  --target-resource-group MyResourceGroup \

  --target-storage-account MyTestStorageAccount \

  --target-container MyTestContainer

• Se full CLI-guide for backup og gjenoppretting:
  https://learn.microsoft.com/en-us/azure/backup/quick-backup-vm-cli

Kari nådde full oversikt og dokumentert beskyttelse på én måned – uten å sprenge budsjettet.
Velg nå hvilket tiltak du vil teste først – og gi kulturell trygghet ved å dele erfaringen i teamet.

Vil du vite mer? 

Ta gjerne kontakt for en uforpliktende prat om hvordan vi sammen kan styrke sikkerheten i ditt Azure-miljø. Send en e-post til kontakt@jas-azure.com, så avtaler vi et møte for rådgiving og veiledning. Jeg ser frem til å høre fra deg!

Videre lesing