Governance v Azure: řízení přístupu a provozní politiky

Jste enterprise firma a myslíte to s cloudem vážně? Pak určitě budete chtít dobře řídit governance – kdo co smí, co komu patří, jaké politiky se mají vynutit, jak si rozdělit práci, jak řídit náklady. V tomto seriálu se na to zaměříme.

Dnes se podíváme na jemné řízení přístupu k zdrojům v Azure a také na vytváření provozních politik. Pokračovat ve čtení „Governance v Azure: řízení přístupu a provozní politiky“

Ochraňte svojí aplikaci v Azure s WAF a Security Center

Máte v infrastrukturní službě v Azure nasazenou aplikaci ve VM a chcete ji chránit před útoky na úrovni protokolu a aplikace jako SQL injection a podobně? Nebo chcete využít veřejného endpointu v cloudu pro ochranu vaší on premise aplikace? Podívejme se, jak Azure Security Center mimo jiné umí automatizovaně nasadit bezpečnostní řešení různých firem (Microsoft, F5, Imperva, Barracuda či Fortinet) – vytvořit i nakonfigurovat tak, že nemusíte být expertem na zmíněné technologie na to, abyste začali svou aplikaci chránit. Pokračovat ve čtení „Ochraňte svojí aplikaci v Azure s WAF a Security Center“

Jak připojit počítač vývojáře z domova do privátní sítě v Azure

Pokud potřebujete mít v Azure privátní prostředí bez veřejných IP adres, můžete se k němu připojit přes site-to-site VPN ve firmě, ExpressRoute ve spolupráci s operátorem a nebo vytočit VPN přímo ze svého počítače (point-to-site). Dnes se chci věnovat té poslední možnosti – jak si mohou například vývojáři vytočit VPNku do Azure.  Podíváme se na dvě varianty. Tou první bude nativní Azure VPN, což má řadu výhod, zejména perfektní integraci do Windows, ale i své limity. Proto se podíváme také na možnost použít VPN třetí strany. Může to být Fortinet, Checkpoint, Cisco, Palo Alto a tak podobně, ale my si ukážeme open source variantu SoftEther.

Pokračovat ve čtení „Jak připojit počítač vývojáře z domova do privátní sítě v Azure“

Přístup k PaaS SQL nebo Storage z vnitřní sítě Azure VNet

Platformní služby mají velmi příjemné vlastnosti z hlediska funkcí, ale i škály a cenové dostupnosti. To ale typicky znamená, že pro využití výnosů z rozsahu jsou některé jejich komponenty multi-tenantní – například jejich interní balancer apod. To znemožňuje nebo znesnadňuje (prodražuje) jejich instalaci ve VNET, privátní síti. Většinou to nevadí. Někdy ale chcete ke službám přistupovat z VNETu. Dnes už je to řešitelné – podívejme jak. Pokračovat ve čtení „Přístup k PaaS SQL nebo Storage z vnitřní sítě Azure VNet“

Bezpečný přístup z PaaS webu do databáze v IaaS nebo on-premises

Platformní služba, například aplikace běžící v Azure App Service, je v principu veřejná služba. Pokud přistupojete k platformní databázi (Azure SQL, MySQL, Postgresql, Cosmos DB) tak se tak děje na úrovni public endpointů, ale zůstává uvnitř Microsoft sítě (nejde přes Internet). Totéž platí pro DB v IaaS VM s veřejnou IP adresou. Co když ale potřebujete přistupovat k databázi, která z nějakých důvodů musí zůstat s privátní adresou? Podívejme se na možnosti. Pokračovat ve čtení „Bezpečný přístup z PaaS webu do databáze v IaaS nebo on-premises“

Autentizace aplikací i bez psaní kódu s Azure App Service

Vaše aplikace v Azure platformě můžete zabezpečit s Azure Active Directory včetně vícefaktorového ověřování a synchronizace s on-premise Active Directory bez napsání jediné řádky kódu. Totéž dokážete třeba pro Google, Twitter nebo Microsoft konzumerský účtet. Jak nasadit veřejnou a zabezpečenou část webu? Jak implementovat autorizaci na základě členství uživatele v security group ve vaší aplikaci? A co když chcete využít mocného Microsoft Graph a zjistit třeba jméno nadřízeného přihlášeného uživatele? To všechno si dnes vyzkoušíme. Pokračovat ve čtení „Autentizace aplikací i bez psaní kódu s Azure App Service“

Just-in-time access bezpečnost s Azure Security Center

Většina administrátorů chce mít možnost připojit se do VM v případě, že se děje něco špatného a ručně zasáhnout. Proto vyžaduje síťově otevřený přístup na SSH, RDP, VNC nebo WinRM port. Tomu velmi rozumím, ale proč nechávat port otevřený i při běžném provozu zbytečně a vystavovat se riziku pokusů o průnik? Co kdyby ho váš firewall blokoval, ale když ho opravdu potřebujete, tak vám ho virtuální síťový kolega třeba na hodinu povolí a pak zas uzavře?

Just in time access v Azure Security Center

Bezpečnostní centrum v Azure disponuje celou řadou monitorovacích a zabezpečovacích mechanismů a just in time access je novinkou. Je to vlastně velmi jednoduché. V Azure není firewall nějaká externí krabice od které má klíče jen vyvolený síťař či bezpečák, ale jde o objekt spravovaný jako všechny ostatní zdroje v Azure Resource Manager. Služba Azure Security Center tedy může jednoduše automatizovat firewallová pravidla na VM a jednoduše povolit na omezený čas přístup do VM na vyžádání.

Azure Security Center má základní verzi zdarma, ta ale neobsahuje funkci just in time access. Můžete si ji vyzkoušet v 60 denním trial nebo pořídit kompletní Azure Security Center včetně threat intelligence, behaviorální analýzy, detekce anomálií a dalších funkcí za 12,65 EUR za VM a měsíc.

Vytvoříme si VM se výchozím firewallem (NSG), který povoluje management přístup (v mém případě s Linux na port 22 čili SSH, u Windows na port 3389, tedy RDP).

$ az group create -n jit -l westeurope
$ az vm create -n jitvm -g jit --image UbuntuLTS --authentication-type password --admin-username tomas --admin-password MojeHeslo123

SSH přístup k této VM bude fungovat.

$ ssh 23.97.217.128
tomas@23.97.217.128's password:

Nastavíme si Just in time access. Jde o funkci, která je součástí Azure Security Center.

V centru zabezpečení klikněte na Just in time.

Povolíme Just in time přístup pro tuto VM.

V následném dialogu nastavíme politiku pro zpřístupňování portů – typicky to budou ty pro správu jako je SSH, RDP, WinRM apod. U každého můžeme nastavit několik parametrů. Jedním z nich je filtrace podle zdrojové adresy, kde můžeme zadat konkrétní rozsah (například pro vnitřní privátní adresy nebo blok veřejných IP vaší firmy) nebo použít konkrétní zdrojovou IP z požadavku. Dále také zadáme maximální čas otevření portu pro jeden požadavek.

V tento okamžik Azure automaticky zavřel SSH přístup do VM.

$ ssh 23.97.217.128
ssh: connect to host 23.97.217.128 port 22: Resource temporarily unavailable

Podívejme se na network security group přiřazenou na VM. Azure Security Center přidalo Deny pravidla pro nastavené porty.

"securityRules": [
   {
     "access": "Deny",
     "description": "ASC JIT Network Access rule for policy 'default' of VM 'jitvm'.",
     "destinationAddressPrefix": "10.0.0.4",
     "destinationPortRange": "22",
     "direction": "Inbound",
     "etag": "W/\"3d41b84b-6610-4dbe-b49c-92b238b1314b\"",
     "id": "/subscriptions/a0f4a733-4fce-4d49-b8a8-d30541fc1b45/resourceGroups/jit/providers/Microsoft.Network/networkSecurityGroups/jitvmNSG/securityRules/SecurityCenter-JITRule_-1058539234_CECD5346BB6D4380AA484CE870B283EE",
     "name": "SecurityCenter-JITRule_-1058539234_CECD5346BB6D4380AA484CE870B283EE",
     "priority": 1000,
     "protocol": "*",
     "provisioningState": "Succeeded",
     "resourceGroup": "jit",
     "sourceAddressPrefix": "*",
     "sourcePortRange": "*"
   },

Požádáme teď o otevření přístupu.

Zvolím pouze port 22 a stačí mi na jednu hodinu.

Po chvilce máme port otevřený.

$ ssh 23.97.217.128
tomas@23.97.217.128's password:

Security Center totiž změnilo příslušné pravidlo v NSG na Allow (všimněte si také, že tam je specificky moje zdrojová IP adresa) a teprve po vypršení stanovené doby to automaticky vrátí zpět na Deny.

"securityRules": [
    {
      "access": "Allow",
      "description": "ASC JIT Network Access rule created by an initiation request for policy 'default' of VM 'jitvm'.",
      "destinationAddressPrefix": "10.0.0.4",
      "destinationPortRange": "22",
      "direction": "Inbound",
      "etag": "W/\"4ae8c174-3af1-4f27-8fad-4551169d3a9d\"",
      "id": "/subscriptions/a0f4a733-4fce-4d49-b8a8-d30541fc1b45/resourceGroups/jit/providers/Microsoft.Network/networkSecurityGroups/jitvmNSG/securityRules/SecurityCenter-JITRule--1058539234-21FC05A217E044D59AB6A0D394376920",
      "name": "SecurityCenter-JITRule--1058539234-21FC05A217E044D59AB6A0D394376920",
      "priority": 100,
      "protocol": "*",
      "provisioningState": "Succeeded",
      "resourceGroup": "jit",
      "sourceAddressPrefix": "90.181.122.97",
      "sourcePortRange": "*"
    },

Zažádat o přístup můžete nejen z GUI, ale také v PowerShellu. Stačí mít poslední verzi AzureRM commandletů a nainstalovat Azure Security Center modul:

Install-Module -Name Azure-Security-Center

Pak otevřete přístup k VM takhle:

Invoke-ASCJITAccess -ResourceGroupName jit -VM jitvm -Port 22

 

Azure díky softwarově definovaným principům a schopnosti automatizace umožňuje použít metody a techniky, které by v běžné infrastruktuře byly nepraktické. Jednou z nich je just in time přístup do VM. Vyskoušejte si i další vlastnosti Azure Security Center.

Azure Security Center: Update management aneb patchujte Windows i Linux

Azure Security Center (produkt, který postupně konsoliduje vlastnosti security v Azure a bezpečnostní analýzu OMS), nástroj pro hybridní správu vašeho datového centra i cloudu, nabízí schopnost přehledu chybějících aktulizací operačních systému Windows a Linux. Ujistěte se, že jsou vaše servery v dobrém stavu a můžete ASC využít i k inicializaci a plánování jejich patchování. Podívejme se dnes jak to funguje a proč je to užitečné. Pokračovat ve čtení „Azure Security Center: Update management aneb patchujte Windows i Linux“

Více-faktorové ověřování v on-premise díky Azure MFA

V Azure je perfektní prostředí pro moderní řízení a ověřování identit – Azure AD postavená na OAuth 2.0 pro aplikace a podpora velmi bezpečného více-faktorového ověřování (kromě jména a hesla i telefonát, SMS, aplikace v mobilu apod.). Ale co on-premise svět? Váš Exchange s OWA, remote desktop, VPNky, intranet a především lokální Active Directory? Potřebovali byste bezpečnější více-faktorové ověřování, ale s on-premise AD a aplikacemi? Podívejme se, jak s využitím ADFS a MFA Serveru napojit váš on-premise svět na Azure Multi-Factor Authentication. Pokračovat ve čtení „Více-faktorové ověřování v on-premise díky Azure MFA“