Zabraňte spouštění neschválených procesů v produkci s Azure Security Center

Dnešní útoky na vaše prostředí už nejsou tolik o hackování firewallů, ale spíše o infiltraci do infrastruktury, kde vstupním bodem bývá zdařilý útok na RDP/SSH či průnik přes phishing na klientovi. Aby se ale útočník dostal k něčemu zajímavému musí se propracovat k serverům. Na nich si obvykle potřebuje spustit nějaké nástroje. Scanování sítě, lámač hesel, odposlouchávadlo. Zajímavou možností je zjistit, jaké procesy a služby za normálních okolností běží na vašem produkčním serveru a zabránit spouštění čehokoli jiného s App Locker ve Windows. Ale jak to nastavit a spravovat? Tady vám pomůže Azure Security Center. Pokračovat ve čtení „Zabraňte spouštění neschválených procesů v produkci s Azure Security Center“

Jak navrhnout FW pravidla v Azure s NSG a ASG

Pokud z nějakého důvodu nemůžete použít platformní službu (PaaS), možná stojíte před úkolem jak nastavit firewall pravidla pro aplikaci ve VM, která má dvojici webových serverů přístupných z venku a dvě databázové VM. Jak to udělat? Mikrosegmentace per VM? Nebo pravidla na subnet? A co aplikační objekty s ASG? Podívejme se dnes na čtyři způsoby jak to navrhnout a výhody či nevýhody každého z nich. Pokračovat ve čtení „Jak navrhnout FW pravidla v Azure s NSG a ASG“

Nepřeceňujte firewall a síť, identita je váš nový perimetr

Klasická bezpečnost byla o zdi mezi zlem a dobrem. Firewally, oddělené sítě, chytré síťové krabičky. Klíčem k zabezpečení „na vstupu“ byl drát, způsob připojení. V dnešním světě mobility a cloudu se ale stává novým perimetrem identita. Velmi často se ocitám v diskusích na téma, že PaaS služby mají veřejné endpointy, a proto to prý není bezpečné. Azure nabízí možnosti jak přístupy síťově svázat a rád se o nich pobavím. Neměli bychom ale o dost víc energie věnovat raději novému perimetru, tedy identitě? Pokračovat ve čtení „Nepřeceňujte firewall a síť, identita je váš nový perimetr“

Governance v Azure: řízení přístupu a provozní politiky

Jste enterprise firma a myslíte to s cloudem vážně? Pak určitě budete chtít dobře řídit governance – kdo co smí, co komu patří, jaké politiky se mají vynutit, jak si rozdělit práci, jak řídit náklady. V tomto seriálu se na to zaměříme.

Dnes se podíváme na jemné řízení přístupu k zdrojům v Azure a také na vytváření provozních politik. Pokračovat ve čtení „Governance v Azure: řízení přístupu a provozní politiky“

Ochraňte svojí aplikaci v Azure s WAF a Security Center

Máte v infrastrukturní službě v Azure nasazenou aplikaci ve VM a chcete ji chránit před útoky na úrovni protokolu a aplikace jako SQL injection a podobně? Nebo chcete využít veřejného endpointu v cloudu pro ochranu vaší on premise aplikace? Podívejme se, jak Azure Security Center mimo jiné umí automatizovaně nasadit bezpečnostní řešení různých firem (Microsoft, F5, Imperva, Barracuda či Fortinet) – vytvořit i nakonfigurovat tak, že nemusíte být expertem na zmíněné technologie na to, abyste začali svou aplikaci chránit. Pokračovat ve čtení „Ochraňte svojí aplikaci v Azure s WAF a Security Center“

Jak připojit počítač vývojáře z domova do privátní sítě v Azure

Pokud potřebujete mít v Azure privátní prostředí bez veřejných IP adres, můžete se k němu připojit přes site-to-site VPN ve firmě, ExpressRoute ve spolupráci s operátorem a nebo vytočit VPN přímo ze svého počítače (point-to-site). Dnes se chci věnovat té poslední možnosti – jak si mohou například vývojáři vytočit VPNku do Azure.  Podíváme se na dvě varianty. Tou první bude nativní Azure VPN, což má řadu výhod, zejména perfektní integraci do Windows, ale i své limity. Proto se podíváme také na možnost použít VPN třetí strany. Může to být Fortinet, Checkpoint, Cisco, Palo Alto a tak podobně, ale my si ukážeme open source variantu SoftEther.

Pokračovat ve čtení „Jak připojit počítač vývojáře z domova do privátní sítě v Azure“

Přístup k PaaS SQL nebo Storage z vnitřní sítě Azure VNet

Platformní služby mají velmi příjemné vlastnosti z hlediska funkcí, ale i škály a cenové dostupnosti. To ale typicky znamená, že pro využití výnosů z rozsahu jsou některé jejich komponenty multi-tenantní – například jejich interní balancer apod. To znemožňuje nebo znesnadňuje (prodražuje) jejich instalaci ve VNET, privátní síti. Většinou to nevadí. Někdy ale chcete ke službám přistupovat z VNETu. Dnes už je to řešitelné – podívejme jak. Pokračovat ve čtení „Přístup k PaaS SQL nebo Storage z vnitřní sítě Azure VNet“

Bezpečný přístup z PaaS webu do databáze v IaaS nebo on-premises

Platformní služba, například aplikace běžící v Azure App Service, je v principu veřejná služba. Pokud přistupojete k platformní databázi (Azure SQL, MySQL, Postgresql, Cosmos DB) tak se tak děje na úrovni public endpointů, ale zůstává uvnitř Microsoft sítě (nejde přes Internet). Totéž platí pro DB v IaaS VM s veřejnou IP adresou. Co když ale potřebujete přistupovat k databázi, která z nějakých důvodů musí zůstat s privátní adresou? Podívejme se na možnosti. Pokračovat ve čtení „Bezpečný přístup z PaaS webu do databáze v IaaS nebo on-premises“

Autentizace aplikací i bez psaní kódu s Azure App Service

Vaše aplikace v Azure platformě můžete zabezpečit s Azure Active Directory včetně vícefaktorového ověřování a synchronizace s on-premise Active Directory bez napsání jediné řádky kódu. Totéž dokážete třeba pro Google, Twitter nebo Microsoft konzumerský účtet. Jak nasadit veřejnou a zabezpečenou část webu? Jak implementovat autorizaci na základě členství uživatele v security group ve vaší aplikaci? A co když chcete využít mocného Microsoft Graph a zjistit třeba jméno nadřízeného přihlášeného uživatele? To všechno si dnes vyzkoušíme. Pokračovat ve čtení „Autentizace aplikací i bez psaní kódu s Azure App Service“