שאלה נפוצה בעבודה עם Azure היא “כיצד אוכל להגן על המשאבים הקריטיים שלי?”
לעתים קרובות שאלה זו קשורה בהגנה על משאבים אלו מפני פעולה שמישהו עלול לבצע, שהוא כמובן לא אמור לעשות. קיימות שתי דרכים לניהול ומניעת הגישה למשאבים: RBAC ו-Azure Locks.
בסביבת הענן שלך, ייתכן וקיימים מספר משאבים קריטיים שביצוע שינויים או מחיקתם עלולים להוות בעיה. לדוגמא, מחיקת Managed SQL או מחיקת מכונה ווירטואלית. כמובן שבדרך כלל לא נרצה בכך. יחד עם זאת, טעויות עלולות לקרות.
Azure Locks הנו פ’יצר המסייע לארגונים בכל גודל להתגונן מפני מחיקת משאבים בטעות, ולעזור בשמירה על סביבת הענן מפני שינויים וטעויות העשויות לקרות בשבריר של שנייה במצבי לחץ.
(RBAC) Role Based Access Control מאפשר לנו להגביל את הגישה והפעולות למשאבים. יש להשתמש ב-RBAC כקו הגנה ראשון מפני גישה לא רצויה למשאבים. יחד עם זאת, RBAC לבדו אולי אינו מספיק. לדוגמא, בסיטואציה בה משתמש צריך גישה מלאה לכל המשאבים לביצוע עבודתו היומיומית. אותו המשתמש לא בהכרח מעוניין למחוק משאבים או לבצע שינויים. כמנהלי סביבות ענן, אנו רוצים לספק שכבת הגנה נוספת כדי למנוע שינויים או מחיקה בשוגג.
כשכבה נוספת של בקרת גישה, אנו יכולים להשתמש ב-Azure Locks. את הנעילה ניתן להחיל בכמה רמות ב-Azure. ברמת ה-Subscription כולו, על Resource Group, או אפילו ברמת משאב יחיד.
Azure Locks איננו כפוף להרשאות RBAC הניתנות בAzure, כך שגם אם ברשותך הרשאות Admin, הנעילה חזקה יותר. לאחר נעילת משאב, ראשית יש להסיר את נעילת המשאב לפני שניתן לשנות או למחוק את המשאב.
לנעילה ב-Azure קיימים שני מצבים:
- Read-Only: כפי שהשם מרמז, הוא גורם למשאב לקריאה בלבד, כך שלא ניתן לבצע שינויים ולא ניתן למחוק אותו.
- Delete: מונע את האפשרות למחוק משאבים, אך מתיר ביצוע שינויים.
שימוש ב-Azure Locks
לצורך ההדגמה יצרנו Resource Group בשם “CMS-RG” ובה NSG.
כמו בכל Resource בAzure, בתפריט מצד שמאל נבחר ב-”Locks” ולאחר מכן נלחץ על “Add”.
בחלונית שתיפתח, נגדיר את מאפייני המנעול, במקרה הזה בחרתי בסוג Read-only.
לאחר שנאשר, נוכל לוודא את ההגדרה שביצענו:
כעת, הנעילה חלה על כל המשאבים הקיימים ב-“Resource Group “CMS-RG.
לצורך בדיקה, ננסה לבצע שינוי ב-NSG שנמצא בתוך “CMS-RG”, וכצפוי, הפעולה נכשלה 😊
כמו כן, גם מחיקה של ה-Resource Group כולו, ומחיקה של Resource יחיד, גם בלתי אפשרית:
כמובן שקיימת אפשרות להסיר את הנעילה ובכך לשחרר את החסימה לביצוע שינויים ומחיקה.
לסיכום, באמצעות נעילת משאבים אנו יכולים ליצור קו הגנה נוסף, המגן עלינו מפני שינויים ומחיקת משאבים בין אם בזדון או בטעות. הפתרון איננו מושלם, מאחר שמשתמשי Admin יכולים פשוט להסיר את הנעילה, ובכך להמשיך בביצוע השינויים או המחיקה, אך פעולה מסוג זה כרוכה בידיעה ברורה שבכוונת המשתמש לעקוף את ההגבלה שיושמה מבעוד מועד. Azure Locks הנו פיצ’ר שימושי מאוד, בעבור נעילת Resource יחיד, Resource Group או אפילו Subscription שלם, ועוזר לנו למנוע ממשתמשים בסביבת Azure למחוק או לשנות משאבים קריטיים, ובכך להימנע ממצב לא נעים שמביא ללחץ רב ואף השבתת עבודה.
