Výkon a škálování Azure Functions a drobný pohled pod velkou kapotu

Serverless znamená, že nemusíte přemýšlet o kapacitě. Platíte za jednotlivá spuštění svého kódu z hlediska času zpracování a použité paměti. Oproti třeba Application Services (PaaS), kde musíte přemýšlet o počtech zdrojů v servisní plánu a řešit jejich případné škálování, u Azure Functions je to vlastnost samotné platformy a vás to nemusí trápit. Pojďme to vyzkoušet a trochu se u toho podívat Azure Functions pod kapotu. Pokračovat ve čtení „Výkon a škálování Azure Functions a drobný pohled pod velkou kapotu“

Přihlašujte se do Linux VM v Azure s AAD a třeba i vícefaktorově

Při vytváření VM v Azure specifikujete přihlašovací údaje administrátora. Tímto účtem se připojíte a řešíte to dál. Možná přidáte účty pro vaše kolegy, ale pokud máte takových VM sto a jeden z účtů je kompromitovaný (nebo ten člověk u vás už nepracuje), je dost práce to změnit. Linux s tím počítá a přes PAM (Pluggable Authentication Module) může OS napojit na centrální repozitář, typicky LDAP nebo standardní AD. Proč ale nevyužít úžasných vlastností Azure Active Directory včetně vícefaktoru, kontroly klienstkého zařízení, analýzy rizika nebo řízení eskalace oprávnění? Pokračovat ve čtení „Přihlašujte se do Linux VM v Azure s AAD a třeba i vícefaktorově“

Jak aktivovat bezpečnou vzdálenou správu Windows s WinRM a Azure Key Vault

Klasické nasazení Windows VM v Azure funguje tak, že aktivujete RDP, připojíte se do VM a uděláte co potřebujete (třeba zapnete WinRM, začleníte server do domény apod.). Půlroční releasy Windows 2016 už ale nepřichází s kompletním GUI, takže se přes RDP stejně napojíte rovnou na PowerShell a odtamtud pokračujete dál. Jak tenhle krok přeskočit a rovnou zprovoznit správu přes WinRM a Admin Center hned v rámci deploymentu? Pokračovat ve čtení „Jak aktivovat bezpečnou vzdálenou správu Windows s WinRM a Azure Key Vault“

Chcete maximální bezpečnost v Azure i jinde? Přemýšlejte o privilegované pracovní stanici.

Pokud je bezpečnost správy systémů (OS, DB, …) pro vás to nejdůležitější, zvažte použití privilegované pracovní stanice. Možná to není pro administrátory zrovna pohodlné a flexibilní, ale je to skvělý způsob dramatického zvýšení bezpečnosti. Dnes si řekneme proč a jak to funguje a v dalším díle si vyzkoušíme některé příklady, například velmi zajímavý projekt Apache Guacamole. Pokračovat ve čtení „Chcete maximální bezpečnost v Azure i jinde? Přemýšlejte o privilegované pracovní stanici.“

Jak oddělit správu hesel od nasazení Azure infrastruktury a aplikací s Azure Key Vault

Představte si, že Azure pro vás spravuje provozák, který má mít schopnost prostředí zakládat, ale neměl by znát heslo do databáze. MySQL služba nepoužívá Azure Active Directory pro ověřování, takže při jejím vytváření potřebujeme nějaké heslo určit. Stejně tak při konfiguraci aplikace potřebujeme skočit do VM a do konfiguračního souboru aplikace zadat heslo do databáze. Situace je tedy neřešitelná – provozák to heslo zkrátka mít musí… nebo ne? Jasně že ne – uložme si hesla do trezoru s Azure Key Vault. Pokračovat ve čtení „Jak oddělit správu hesel od nasazení Azure infrastruktury a aplikací s Azure Key Vault“

Azure Security + Management – hybridní monitoring infra, aplikací i bezpečnosti

Včera jsem měl možnost mluvit na webináři, který představil Azure nabídku pro oblast hybridní správy, tedy řešení nejen pro Azure, ale pro systémy v on-premises, hostingu či jiném cloudu.

Nejprve vás v 15 minutách seznámím s celkovým pohledem na správu a zmíníme tři nejdůležitější oblasti, které následně uvidíte – monitoring a analytické operace nad infrastrukturou, bezpečnost a analytika aplikací. Pokud znáte OMS, tak Azure Security + Management je nový název pro hybridní správu z Azure. Koukněte na video, po pár slidech následuje 45 minutové demo.

Zabraňte spouštění neschválených procesů v produkci s Azure Security Center

Dnešní útoky na vaše prostředí už nejsou tolik o hackování firewallů, ale spíše o infiltraci do infrastruktury, kde vstupním bodem bývá zdařilý útok na RDP/SSH či průnik přes phishing na klientovi. Aby se ale útočník dostal k něčemu zajímavému musí se propracovat k serverům. Na nich si obvykle potřebuje spustit nějaké nástroje. Scanování sítě, lámač hesel, odposlouchávadlo. Zajímavou možností je zjistit, jaké procesy a služby za normálních okolností běží na vašem produkčním serveru a zabránit spouštění čehokoli jiného s App Locker ve Windows. Ale jak to nastavit a spravovat? Tady vám pomůže Azure Security Center. Pokračovat ve čtení „Zabraňte spouštění neschválených procesů v produkci s Azure Security Center“

Jak navrhnout FW pravidla v Azure s NSG a ASG

Pokud z nějakého důvodu nemůžete použít platformní službu (PaaS), možná stojíte před úkolem jak nastavit firewall pravidla pro aplikaci ve VM, která má dvojici webových serverů přístupných z venku a dvě databázové VM. Jak to udělat? Mikrosegmentace per VM? Nebo pravidla na subnet? A co aplikační objekty s ASG? Podívejme se dnes na čtyři způsoby jak to navrhnout a výhody či nevýhody každého z nich. Pokračovat ve čtení „Jak navrhnout FW pravidla v Azure s NSG a ASG“