Synchronizace AD do Azure Active Directory: password hash scénář

V minulém díle jsme prošli základní možnosti synchronizace vašeho Active Directory s Azure Active Directory. Dnes si ukážeme detailně první možnost – synchronizaci password hash. Je to řešení bezpečné, jednoduché a vaše cloudové prostředí není závislé na dostupnosti on-premises. Pokračovat ve čtení „Synchronizace AD do Azure Active Directory: password hash scénář“

Synchronizace AD do Azure Active Directory: přehled možností

Pokud chcete využívat cloudové služby Microsoftu jako je Office 365 nebo Azure, potřebujete Azure Active Directory. O něj můžete opřít i vaše aplikace s využitím moderních metod přihlašování a získat celou řadu nadstavbových vlastností v oblasti bezpečnosti (například Azure Identity Protection), řízení přístupů (conditional access, Priviledged Identity Management), správy stavu koncových zařízení (InTune), napojení na partnery (B2B) či zákazníky (B2C).  Jak napojit vaše standardní Active Directory do cloudového světa Azure Active Directory, který získáváte jako vysoce dostupnou platformní službu? Pokračovat ve čtení „Synchronizace AD do Azure Active Directory: přehled možností“

Přihlašujte se do Linux VM v Azure s AAD a třeba i vícefaktorově

Při vytváření VM v Azure specifikujete přihlašovací údaje administrátora. Tímto účtem se připojíte a řešíte to dál. Možná přidáte účty pro vaše kolegy, ale pokud máte takových VM sto a jeden z účtů je kompromitovaný (nebo ten člověk u vás už nepracuje), je dost práce to změnit. Linux s tím počítá a přes PAM (Pluggable Authentication Module) může OS napojit na centrální repozitář, typicky LDAP nebo standardní AD. Proč ale nevyužít úžasných vlastností Azure Active Directory včetně vícefaktoru, kontroly klienstkého zařízení, analýzy rizika nebo řízení eskalace oprávnění? Pokračovat ve čtení „Přihlašujte se do Linux VM v Azure s AAD a třeba i vícefaktorově“

Jak aktivovat bezpečnou vzdálenou správu Windows s WinRM a Azure Key Vault

Klasické nasazení Windows VM v Azure funguje tak, že aktivujete RDP, připojíte se do VM a uděláte co potřebujete (třeba zapnete WinRM, začleníte server do domény apod.). Půlroční releasy Windows 2016 už ale nepřichází s kompletním GUI, takže se přes RDP stejně napojíte rovnou na PowerShell a odtamtud pokračujete dál. Jak tenhle krok přeskočit a rovnou zprovoznit správu přes WinRM a Admin Center hned v rámci deploymentu? Pokračovat ve čtení „Jak aktivovat bezpečnou vzdálenou správu Windows s WinRM a Azure Key Vault“

Chcete maximální bezpečnost v Azure i jinde? Přemýšlejte o privilegované pracovní stanici.

Pokud je bezpečnost správy systémů (OS, DB, …) pro vás to nejdůležitější, zvažte použití privilegované pracovní stanice. Možná to není pro administrátory zrovna pohodlné a flexibilní, ale je to skvělý způsob dramatického zvýšení bezpečnosti. Dnes si řekneme proč a jak to funguje a v dalším díle si vyzkoušíme některé příklady, například velmi zajímavý projekt Apache Guacamole. Pokračovat ve čtení „Chcete maximální bezpečnost v Azure i jinde? Přemýšlejte o privilegované pracovní stanici.“

Jak oddělit správu hesel od nasazení Azure infrastruktury a aplikací s Azure Key Vault

Představte si, že Azure pro vás spravuje provozák, který má mít schopnost prostředí zakládat, ale neměl by znát heslo do databáze. MySQL služba nepoužívá Azure Active Directory pro ověřování, takže při jejím vytváření potřebujeme nějaké heslo určit. Stejně tak při konfiguraci aplikace potřebujeme skočit do VM a do konfiguračního souboru aplikace zadat heslo do databáze. Situace je tedy neřešitelná – provozák to heslo zkrátka mít musí… nebo ne? Jasně že ne – uložme si hesla do trezoru s Azure Key Vault. Pokračovat ve čtení „Jak oddělit správu hesel od nasazení Azure infrastruktury a aplikací s Azure Key Vault“

Azure Security + Management – hybridní monitoring infra, aplikací i bezpečnosti

Včera jsem měl možnost mluvit na webináři, který představil Azure nabídku pro oblast hybridní správy, tedy řešení nejen pro Azure, ale pro systémy v on-premises, hostingu či jiném cloudu.

Nejprve vás v 15 minutách seznámím s celkovým pohledem na správu a zmíníme tři nejdůležitější oblasti, které následně uvidíte – monitoring a analytické operace nad infrastrukturou, bezpečnost a analytika aplikací. Pokud znáte OMS, tak Azure Security + Management je nový název pro hybridní správu z Azure. Koukněte na video, po pár slidech následuje 45 minutové demo.

Zabraňte spouštění neschválených procesů v produkci s Azure Security Center

Dnešní útoky na vaše prostředí už nejsou tolik o hackování firewallů, ale spíše o infiltraci do infrastruktury, kde vstupním bodem bývá zdařilý útok na RDP/SSH či průnik přes phishing na klientovi. Aby se ale útočník dostal k něčemu zajímavému musí se propracovat k serverům. Na nich si obvykle potřebuje spustit nějaké nástroje. Scanování sítě, lámač hesel, odposlouchávadlo. Zajímavou možností je zjistit, jaké procesy a služby za normálních okolností běží na vašem produkčním serveru a zabránit spouštění čehokoli jiného s App Locker ve Windows. Ale jak to nastavit a spravovat? Tady vám pomůže Azure Security Center. Pokračovat ve čtení „Zabraňte spouštění neschválených procesů v produkci s Azure Security Center“

Jak navrhnout FW pravidla v Azure s NSG a ASG

Pokud z nějakého důvodu nemůžete použít platformní službu (PaaS), možná stojíte před úkolem jak nastavit firewall pravidla pro aplikaci ve VM, která má dvojici webových serverů přístupných z venku a dvě databázové VM. Jak to udělat? Mikrosegmentace per VM? Nebo pravidla na subnet? A co aplikační objekty s ASG? Podívejme se dnes na čtyři způsoby jak to navrhnout a výhody či nevýhody každého z nich. Pokračovat ve čtení „Jak navrhnout FW pravidla v Azure s NSG a ASG“

Nepřeceňujte firewall a síť, identita je váš nový perimetr

Klasická bezpečnost byla o zdi mezi zlem a dobrem. Firewally, oddělené sítě, chytré síťové krabičky. Klíčem k zabezpečení „na vstupu“ byl drát, způsob připojení. V dnešním světě mobility a cloudu se ale stává novým perimetrem identita. Velmi často se ocitám v diskusích na téma, že PaaS služby mají veřejné endpointy, a proto to prý není bezpečné. Azure nabízí možnosti jak přístupy síťově svázat a rád se o nich pobavím. Neměli bychom ale o dost víc energie věnovat raději novému perimetru, tedy identitě? Pokračovat ve čtení „Nepřeceňujte firewall a síť, identita je váš nový perimetr“