Een Azure-tenant zonder governance verwordt binnen jaar tot een chaos van onbekende resources, te brede permissies en onverwachte rekeningen. Azure Policy is het remmen-instrument; governance-framework is wie wat beslist.
Policy-categorieen
Security baselines (encryption-at-rest verplicht, public IP geblokkeerd, MFA voor admins), compliance frameworks (CIS Azure, NIST 800-53, BIO via custom initiative), cost-control (VM-skus beperkt, regions restricted), naming en tagging (verplicht tag set per resource).
Initiative groups
In plaats van losse policies: initiative groups die meerdere policies bundelen per scope. Een 'NL Compliance' initiative met BIO + AVG-relevante policies. Per management group of subscription toegewezen.
Audit versus deny versus modify
Audit: log only, geen blokkade. Voor learning-mode bij invoering. Deny: blokkeert non-compliant resources. Voor strict policies. Modify: voegt automatisch ontbrekend (zoals tags) toe. Combinatie geeft progressie van bewustwording naar afdwinging.
Compliance-rapportage
Defender for Cloud Compliance dashboard toont per regulatory framework (BIO, NIS2, CIS, ISO 27001) compliance-percentage. Voor audits direct bewijsmateriaal beschikbaar. Voor toezichthouders een gemeenschappelijke taal.
Verwant: Freelance cloud consultant inhuren, Azure landing zone.