Azure Policy ist ein Cloud-Dienst, der zur Verwaltung von Governance und Compliance in Microsoft Azure-Umgebungen dient. Er ermöglicht es Administratoren, Regeln und Anforderungen zu definieren, um sicherzustellen, dass Ressourcen innerhalb von Azure den Unternehmensstandards und regulatorischen Anforderungen entsprechen.
Eine einheitliche Ressourcenkontrolle kann Cloud-Compliance garantieren, indem die Anzahl externer Genehmigungen durch Richtlinienmanagement gesenkt wird.
(Bild: MYZONEFOTO - stock.adobe.com)
Die Hauptfunktionen von AzurePolicy umfassen die Erstellung und Zuweisung von Richtlinien, die Überwachung der Ressourcen-Compliance und die Durchsetzung von Richtlinien in Echtzeit. Azure Policy definiert und verwaltet Richtlinien, die auf Ressourcen in Azure angewendet werden. Der Dienst ermöglicht Administratoren, Regeln zu erstellen, die sicherstellen, dass die Ressourcen bestimmten Konfigurationsanforderungen entsprechen. Azure Policy arbeitet auf einer deklarativen Basis, was bedeutet, dass die gewünschten Zustände von Ressourcen beschrieben werden und das System automatisch sicherstellt, dass die Ressourcen diesen Zuständen entsprechen.
Funktionalität und Nutzung von Azure Policy
Jede Interaktion mit Azure erfolgt über den Azure Resource Manager (ARM), der als zentrale Instanz fungiert, um Richtlinien durchzusetzen. Durch Azure Policy können Administratoren spezifische Anforderungen definieren, die auf verschiedenen Ebenen der Azure-Hierarchie angewendet werden, darunter Management Groups, Abonnements und Ressourcengruppen. Die hierarchische Struktur ermöglicht eine konsistente Anwendung von Richtlinien über mehrere Ebenen hinweg.
Verwalten und Konfigurieren von Definitionen in Azure Policy.
(Bild: Joos - Microsoft)
Richtlinien werden als JSON-Definitionen erstellt, welche die Bedingungen und Einstellungen spezifizieren. Eine typische Richtlinie enthält eine Bedingung, die festlegt, welche Ressourcen betroffen sind, und einen Zustand/Effekt, der beschreibt, welche Aktion ausgeführt wird, wenn die Bedingung erfüllt ist. Zustände können variieren, von der Überprüfung (Audit) über die Ablehnung (Deny) bis hin zur automatischen Änderung (Append, Modify).
Um die Verwaltung großer Mengen an Richtlinien zu vereinfachen, werden mehrere Richtlinien häufig zu Initiativen zusammengefasst. Eine Initiative ist eine Sammlung von Richtlinien, die als Gruppe zugewiesen und überwacht werden können. Dies erleichtert die Verwaltung und Nachverfolgung der Einhaltung von Richtlinien. Initiativen sind Sammlungen einzelner Richtliniendefinitionen, die als Einheit zugewiesen werden können. Initiativen bestehen aus Gruppen, die verwandte Richtlinienobjekte zusammenfassen.
Diese Gruppen helfen, die Initiative zu strukturieren und den Zweck der enthaltenen Richtlinien klar zu definieren. Beispielsweise könnten alle Richtlinien zur Bedrohungserkennung in einer Gruppe zusammengefasst sein, während eine andere Gruppe Richtlinien zur Authentifizierung enthält. Initiativen erleichtern die Verwaltung komplexer Compliance-Anforderungen. Beispielsweise können Initiativen, die mehrere Richtlinien zur Einhaltung von HIPAA oder NIST SP 800-53 enthalten, auf Abonnements angewendet werden, um sicherzustellen, dass alle relevanten Vorschriften eingehalten werden.
Überwachung und Compliance
Azure Policy bietet verschiedene Modi zur Überwachung und Durchsetzung von Richtlinien. Im Audit-Modus wird geprüft, ob Ressourcen den Richtlinien entsprechen, ohne sofortige Änderungen vorzunehmen. Dies ermöglicht es, potenzielle Probleme zu identifizieren und zu beheben, bevor striktere Maßnahmen wie die Ablehnung von nicht-konformen Ressourcen ergriffen werden.
Richtlinien in Azure Policy verwalten.
(Bild: Joos - Microsoft)
Compliance-Dashboards im Azure-Portal bieten eine Übersicht über den Status der Richtlinieneinhaltung. Administratoren können den Compliance-Status ihrer Ressourcen überwachen, Berichte anpassen und Maßnahmen zur Behebung von Verstößen ergreifen. Ein Beispiel für die Anwendung von Azure Policy ist die Einschränkung zulässiger Storage-SKUs innerhalb eines Abonnements. Durch die Definition einer Richtlinie, die nur bestimmte SKUs erlaubt, und die Anwendung dieser Richtlinie auf ein Abonnement, kann sichergestellt werden, dass nur konforme Storage-Ressourcen erstellt werden. Eine Verletzung dieser Richtlinie würde zur Ablehnung der Erstellung einer nicht zugelassenen SKU führen.
Erstellung einer benutzerdefinierten Richtlinie
Bei der Erstellung einer benutzerdefinierten Richtlinie wird zunächst die JSON-Struktur der Richtlinie definiert. Diese Struktur umfasst mehrere wichtige Elemente: Parameter, Regeln und Effekte. Parameter erlauben es, die Richtlinie flexibel und anpassbar zu gestalten, indem sie Variablen wie die minimale TLS-Version oder den zu verwendenden Effekt definieren. Die Regel (if statement) spezifiziert die Bedingungen, unter denen die Richtlinie angewendet wird, wie den Ressourcentyp und spezifische Eigenschaften der Ressource.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Effekte einer Richtlinie definieren, welche Aktion ausgeführt wird, wenn die Bedingungen der Regel erfüllt sind. Zu den möglichen Effekten gehören Audit, Deny, Append und Modify. Audit-Effekte überprüfen lediglich die Einhaltung der Richtlinie, während Deny-Effekte die Erstellung oder Änderung einer nicht-konformen Ressource verhindern. Append- und Modify-Effekte fügen Eigenschaften hinzu oder ändern diese, um die Konformität sicherzustellen.
Einstieg im Azure Portal zu Azure Policy.
(Bild: Joos - Microsoft)
Parameter spielen eine entscheidende Rolle bei der Definition der Effekte. Ein Beispiel hierfür ist die Vorgabe der minimalen TLS-Version für Speicherressourcen. Durch die Festlegung eines Parameters wie „TLSVersion“ und dessen Standardwert „TLS1.2“ kann die Richtlinie flexibel auf verschiedene Anforderungen angepasst werden. Ein weiteres Beispiel für die Anwendung von Azure Policy ist die Festlegung erlaubter Standorte für Ressourcen. Eine Richtlinie kann erstellt werden, die nur bestimmte Regionen erlaubt. Diese Richtlinie wird dann auf eine Ressourcengruppe oder ein Abonnement angewendet. Bei der Erstellung einer neuen Ressource in einer nicht erlaubten Region wird die Erstellung blockiert. Dies stellt sicher, dass alle Ressourcen den Standortvorgaben des Unternehmens entsprechen.
Noch ein Beispiel für die Nutzung von Azure Policy ist die Durchsetzung der Verschlüsselung von Daten im Ruhezustand. Eine Richtlinie kann erstellt werden, die sicherstellt, dass alle virtuellen Maschinen eine Festplattenverschlüsselung verwenden. Diese Richtlinie kann auf verschiedene Ressourcenebenen angewendet und überwacht werden, um sicherzustellen, dass alle neuen und bestehenden Ressourcen die Verschlüsselungsanforderungen erfüllen.
Verwaltung von Richtlinien mit Code
Ein Vorteil von Azure Policy ist die Möglichkeit, Richtlinien als Code zu verwalten. Durch die Integration in DevOps-Pipelines und die Nutzung von Tools wie Terraform können Richtlinien automatisiert erstellt, überprüft und angewendet werden. Dies ermöglicht eine konsistente und skalierbare Verwaltung von Compliance-Vorgaben über verschiedene Umgebungen hinweg.
Ein Terraform-Skript zur Erstellung einer Azure Policy-Initiative kann wie folgt aussehen:
In diesem Beispiel wird eine benutzerdefinierte Richtlinie erstellt, die überprüft, ob virtuelle Maschinen über eine Verschlüsselungserweiterung verfügen. Diese Richtlinie wird dann einer Ressourcengruppe zugewiesen.
Enterprise Policy as Code (EPAC)
EPAC von Microsoft bietet eine erweiterte Lösung zur Verwaltung von Richtlinien als Code. EPAC ermöglicht es, Richtlinien und Initiativen zentral zu verwalten, benutzerfreundliche Namen zu vergeben und Ausnahmen effizient zu handhaben. Dies vereinfacht die Verwaltung von Richtlinien erheblich und stellt sicher, dass alle Compliance-Anforderungen konsistent erfüllt werden.
Mit EPAC können Unternehmen zum Beispiel eine zentrale Bibliothek von Richtliniendefinitionen pflegen, die regelmäßig überprüft und aktualisiert werden. Neue Richtlinien können in die bestehende Infrastruktur integriert werden, und Ausnahmen können zentral verwaltet und dokumentiert werden.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/8d/e0/8de00bb0c72231bc51fe6baa095aaf82/0128995925v1.jpeg "Von der Ressourcenzuteilung bis zur Finanzverwaltung gestalten KI-Agenten die Zukunft der Unternehmensplanung und optimieren die Zusammenarbeit zwischen Mensch und Maschine. (Bild: © Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/a4/06a42876449bba06fb5efa3ecb9e189a/0129144465v1.jpeg "Sage Copilot liefert Hinweise und Warnungen direkt in den Arbeitsabläufen der Anwender. (Bild: Sage)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/17/40/1740df3260ea9ff0e7e9c8ad4b2b3011/0129143628v1.jpeg "Die IO-River-Gründer: links Michael Hakimi (CTO), rechts Edward Tsinovoi (CEO). (Bild: IO River)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bc/a5/bca56318391b40b360df5794c34cd81b/0129324079v1.jpeg "Industrial AI Cloud: Eröffnung der Hochleistungs-KI-Infrastruktur der Deutschen Telekom in München mit massiv skalierbaren Rechen- und Speicherressourcen speziell für das Training und den Betrieb großer KI-Modelle. (Bild: Deutsche Telekom AG / Cindy Albrecht / Robert Dieth)")
:quality(80)/p7i.vogel.de/wcms/34/fd/34fdef54803731e87c26c895abe5f9f0/0128873273v1.jpeg "Wenngleich Quantencomputer aktuell noch sehr teuer sind und deren allgemeine Verfügbarkeit derzeit noch Zukunftsmusik ist, wappnet sich das BSI bereits jetzt gegen die Cyberangriffe von morgen. (ec0de - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/f9/7af9bb48ac1b02e6dd9f656a3764eafa/0129089298v1.jpeg "Warum klassische MES-Systeme an Grenzen stoßen und wie Cloud-native MOM-Plattformen für mehr Flexibilität und Effizienz sorgen, zeigt der Gastbeitrag. (Bild: © panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ba/f2/baf2bd1814e2831c86bf6ef4aec7296b/0129333921v1.jpeg "Ein Klick genügt: Reprompt kapert Copilot-Sitzungen über URL-Parameter. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c5/dc/c5dc5a70b3b30c72d140b96c300743b7/0129090945v1.jpeg "Nur wenige Unternehmen schaffen den Sprung vom GenAI-Pilotprojekt zum produktiven Einsatz. Entscheidend ist nicht das Modell, sondern eine orchestrierte Architektur. (Bild: © Andrey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/78/dd/78dd424bbfd2833a8b65b7347ba4b2f3/0127731503v1.jpeg "Ein CEA-Framework bringt GRC von der Papier-Policy in Code, verankert Kontrollen in CI/CD und automatisiert Prüfungen sowie Remediation. Ergebnis: mehr Transparenz, weniger Fehlkonfigurationen, schnellere Audits und kürzere MTTR in Cloud-nativen Umgebungen. (Bild: © Sonya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bf/c4/bfc48d51e7c88531ffd495be79c3a071/0123408210v1.jpeg "Um Cybersicherheit in einer Multicloud-Umgebung gewährleisten zu können, erfordert es die Definition cloud-übergreifender Sicherheitsrichtlinien und Standards, die alle Plattformen nahtlos abdecken. (Bild: peerapong - stock.adobe.com)")