All articoli infrastructure

Azure Landing Zone sicure e aggiornate con Azure Governance Visualizer

Luigi Pandolfino

Gestire e proteggere le Azure Landing Zone (ALZ) rappresenta l’elemento chiave di qualsiasi strategia di cloud governance.
Le landing zone non sono entità statiche, evolvono nel tempo per incorporare le best practice di Microsoft, nuovi controlli di sicurezza e linee guida operative aggiornate.
Diventa, quindi, fondamentale assicurare che le implementazioni esistenti rimangano allineate a queste evoluzioni.

Azure Governance Visualizer (AzGovViz) è uno strumento basato su PowerShell che attraversa la gerarchia dei Management Group di un Tenant, partendo dal Management Group radice fino a Subscription, Resource Group e Risorse.
Raccoglie dati da diverse API di Azure, tra cui Azure Resource Manager (ARM), Microsoft Graph e Azure Storage.

Per risolvere la problematica menzionata sopra, AzGovViz introduce la nuova funzionalità “ALZ Policy Assignments Checker” che consente di visualizzare la gerarchia delle proprie ALZ e di identificare in modo chiaro le assegnazioni di policy mancanti nei diversi management group delle landing zone.

Contesto e motivazioni

Con l’adozione del Cloud Adoption Framework, molte organizzazioni implementano Azure Landing Zone (AZL) per garantire ambienti coerenti, sicuri e gestibili su scala enterprise.
Tuttavia vanno considerati alcuni aspetti:

  • Microsoft rilascia regolarmente nuove versioni della reference implementation di ALZ.
  • Questi aggiornamenti includono spesso nuove definizioni di policy e assegnazioni pensate per rafforzare la sicurezza e la coerenza.
  • L’assenza di un aggiornamento continuo porta all’accumulo di technical debt.
  • Gaps nell’enforcement delle policy introducono rischi di sicurezza, deviazioni dalle regole di compliance e perdita di capacità di governance.

In sintesi: mantenere le Landing Zone allineate alle ultime raccomandazioni è un requisito essenziale per una governance efficace.

Le funzionalità principali sono le seguenti:

  • Confronto delle assegnazioni di policy esistenti con la reference architecture ALZ più recente.
  • Evidenziazione delle policy mancanti a ogni livello del management group.
  • Identificazione della release ALZ che ha introdotto ciascuna policy.
  • Collegamenti diretti alla libreria di policy ALZ per approfondire le linee guida di implementazione.

E hanno come obiettivo l’eliminazione delle incertezze su cosa manca in termini di policy e fornire visibilità completa sui governance gap.

Come funziona?

Il processo di analisi avviene in più fasi:

1. Esecuzione di Azure Governance Visualizer nell’ambiente target.
2. Raccolta delle assegnazioni di policy presenti nella gerarchia di management group.
3. Confronto automatico con la reference implementation di ALZ aggiornata.
4. Generazione di un report visivo che mostra:

  • Copertura attuale delle policy
  • Policy mancanti, con dettaglio del livello del management group interessato
  • Release ALZ di introduzione di ciascuna policy

5. Accesso diretto ai link verso la libreria ALZ per implementare in modo rapido e conforme le policy mancanti.

Scenario d’uso

Proviamo a considerare un’organizzazione che abbia adottato Azure Landing Zones diversi mesi fa.
Nel frattempo Microsoft ha rilasciato una nuova versione della reference implementation, introducendo importanti aggiornamenti:

  • Controlli di sicurezza per l’identità (ad esempio enforcement MFA)
  • Regole di consistenza delle risorse
  • Aggiornamenti dei security baseline

In assenza di un processo di allineamento continuo, queste nuove policy potrebbero non risultare assegnate.

ALZ Policy Assignments Checker permette di individuare con precisione:

  • Quali policy risultano mancanti
  • A quale livello della gerarchia vanno assegnate
  • In quale release di ALZ sono state introdotte

Consentendo così di pianificare e colmare i gap di governance in modo strutturato ed efficace.

Conclusioni

Le Landing Zone non rappresentano un’implementazione statica “configura e dimentica”, ma un framework che deve evolvere in linea con le best practice più recenti e le esigenze di sicurezza.
Questa nuova implementazione ci permetterà di ottenere:

  • Riduzione del technical debt
    Assicura che le landing zone non si allontanino nel tempo dalle best practice consigliate.
  • Miglioramento della postura di sicurezza
    Garantisce l’enforcement di tutte le policy previste per la protezione degli asset.
  • Facilitazione delle attività di audit e compliance
    Offre prove chiare di un approccio sistematico alla governance.
  • Ottimizzazione operativa
    I collegamenti diretti alla libreria ALZ semplificano l’implementazione delle policy mancanti.

Link utili

Articoli correlati

All

Mikrotik Cloud Hosted Router: NVA in Azure – Parte 1

Come abbiamo visto nell’articolo “Il Default outbound access in Azure verrà ritirato“, a partire dal 30 settembre 2025 le nuove VM che necessitano di accesso a Internet dovranno utilizzare metodi di connettività in uscita espliciti, come Azure NAT Gateway, Azure Load Balancer con outbound rules, avere un IP pubblico associato, oppure utilizzare un NVA (Network Virtual Appliance). Nel Marketplace di Azure

...continua a leggere

Luigi Pandolfino