Předávání tajností do App Service (WebApp) přes Azure Key Vault

Ve vaší WebApp můžete udržovat konfigurační parametry v záložce Application Settings. Tyto jsou bezpečně uloženy, nicméně jejich správu musíte provádět přes WebApp samotnou. Na ukládání tajností jako jsou hesla nebo connection stringy je k dispozici výborná služba Azure Key Vault. Od včerejška je možné ji použít i pro předávání parametrů vašim aplikacím v Application Services aniž byste museli napsat byť jen jedinou řádku kódu! Pojďme se na to podívat.

Pokračovat ve čtení „Předávání tajností do App Service (WebApp) přes Azure Key Vault“

Azure DDoS ochrana pro vaše aplikace

Mirai botnet v roce 2016 vedl na DDoS útok o síle 650 Gbps. O dva roky později bylo zneužito protokolu Memcached, který umožnil zesilující faktor 1:50000 a výsledkem byl globální útok kolem 1,3 Tbps. Týká se DDoS i vás? A jak se chránit s využitím Azure? Pomůže Azure i pro zdroje běžící u vás? Jsem v Azure chráněn automaticky nebo musím něco připlatit?  Pokračovat ve čtení „Azure DDoS ochrana pro vaše aplikace“

Nemodifikovatelná storage v Azure pro zákonné držení vašich dokumentů

Jsou situace, kdy potřebujete do storage nahrát nějaké dokumenty a zajistit, že je po určité rozhodné období není možné smazat nebo modifikovat a to ani s největšími administrátorskými právy. Možná jde o uživatelem nahrané dokumenty nebo logy z vašich systémů, které musíte držet například po dobu dvou let pro případ důkazního řízení. Tento režim (WORM) dnes nabízí Azure Blob Storage a vyhovuje předpisům jako je SEC 17a-4(f). Pojďme si to vyzkoušet. Pokračovat ve čtení „Nemodifikovatelná storage v Azure pro zákonné držení vašich dokumentů“

Synchronizace AD do Azure Active Directory: password hash scénář

V minulém díle jsme prošli základní možnosti synchronizace vašeho Active Directory s Azure Active Directory. Dnes si ukážeme detailně první možnost – synchronizaci password hash. Je to řešení bezpečné, jednoduché a vaše cloudové prostředí není závislé na dostupnosti on-premises. Pokračovat ve čtení „Synchronizace AD do Azure Active Directory: password hash scénář“

Synchronizace AD do Azure Active Directory: přehled možností

Pokud chcete využívat cloudové služby Microsoftu jako je Office 365 nebo Azure, potřebujete Azure Active Directory. O něj můžete opřít i vaše aplikace s využitím moderních metod přihlašování a získat celou řadu nadstavbových vlastností v oblasti bezpečnosti (například Azure Identity Protection), řízení přístupů (conditional access, Priviledged Identity Management), správy stavu koncových zařízení (InTune), napojení na partnery (B2B) či zákazníky (B2C).  Jak napojit vaše standardní Active Directory do cloudového světa Azure Active Directory, který získáváte jako vysoce dostupnou platformní službu? Pokračovat ve čtení „Synchronizace AD do Azure Active Directory: přehled možností“

Přihlašujte se do Linux VM v Azure s AAD a třeba i vícefaktorově

Při vytváření VM v Azure specifikujete přihlašovací údaje administrátora. Tímto účtem se připojíte a řešíte to dál. Možná přidáte účty pro vaše kolegy, ale pokud máte takových VM sto a jeden z účtů je kompromitovaný (nebo ten člověk u vás už nepracuje), je dost práce to změnit. Linux s tím počítá a přes PAM (Pluggable Authentication Module) může OS napojit na centrální repozitář, typicky LDAP nebo standardní AD. Proč ale nevyužít úžasných vlastností Azure Active Directory včetně vícefaktoru, kontroly klienstkého zařízení, analýzy rizika nebo řízení eskalace oprávnění? Pokračovat ve čtení „Přihlašujte se do Linux VM v Azure s AAD a třeba i vícefaktorově“

Jak aktivovat bezpečnou vzdálenou správu Windows s WinRM a Azure Key Vault

Klasické nasazení Windows VM v Azure funguje tak, že aktivujete RDP, připojíte se do VM a uděláte co potřebujete (třeba zapnete WinRM, začleníte server do domény apod.). Půlroční releasy Windows 2016 už ale nepřichází s kompletním GUI, takže se přes RDP stejně napojíte rovnou na PowerShell a odtamtud pokračujete dál. Jak tenhle krok přeskočit a rovnou zprovoznit správu přes WinRM a Admin Center hned v rámci deploymentu? Pokračovat ve čtení „Jak aktivovat bezpečnou vzdálenou správu Windows s WinRM a Azure Key Vault“

Chcete maximální bezpečnost v Azure i jinde? Přemýšlejte o privilegované pracovní stanici.

Pokud je bezpečnost správy systémů (OS, DB, …) pro vás to nejdůležitější, zvažte použití privilegované pracovní stanice. Možná to není pro administrátory zrovna pohodlné a flexibilní, ale je to skvělý způsob dramatického zvýšení bezpečnosti. Dnes si řekneme proč a jak to funguje a v dalším díle si vyzkoušíme některé příklady, například velmi zajímavý projekt Apache Guacamole. Pokračovat ve čtení „Chcete maximální bezpečnost v Azure i jinde? Přemýšlejte o privilegované pracovní stanici.“

Jak oddělit správu hesel od nasazení Azure infrastruktury a aplikací s Azure Key Vault

Představte si, že Azure pro vás spravuje provozák, který má mít schopnost prostředí zakládat, ale neměl by znát heslo do databáze. MySQL služba nepoužívá Azure Active Directory pro ověřování, takže při jejím vytváření potřebujeme nějaké heslo určit. Stejně tak při konfiguraci aplikace potřebujeme skočit do VM a do konfiguračního souboru aplikace zadat heslo do databáze. Situace je tedy neřešitelná – provozák to heslo zkrátka mít musí… nebo ne? Jasně že ne – uložme si hesla do trezoru s Azure Key Vault. Pokračovat ve čtení „Jak oddělit správu hesel od nasazení Azure infrastruktury a aplikací s Azure Key Vault“