Témata

Security


Nativní Azure Monitor a Microsoft Sentinel nově umí levnější logy a zabudovanou levnější archivaci - analýza nákladů (část 1)

Log Analytics jsou kombinace specializovaného databázového stroje, ingesting pipelines a agentů pro sběr dat ze strojů. Pod kapotou je v roli datového engine Azure Data Explorer. Nad Log Analytics jsou pak vystavena tři velká řešení. Tím prvním je Azure Monitor, který do toho vnáší sběr specializovaných informací (obohacuje základní agenty...

Téma:  Monitoring  Security  Kubernetes 


Federace vnitřních Kubernetes identit s Azure Active Directory pro přístup k cloudovým službám bez hesel

Předávat aplikacím nějaké tajnosti jako jsou hesla nebo certifikáty je vždy docela nepohodlné, zejména, když nechcete prasit a dodržujete bezpečnostní hygienu (pravidelná rotace, nikdy neuloženo v Gitu nebo na disku, nikdy nezalogováno nebo odesláno do crash dumpu). Ve zdrojích běžících v Azure ve vašem tenantu to lze elegantně řešit přes...

Téma:  Kubernetes  Security  AAD 


Azure Private Endpoint - co dělat, když bezpečnostní oddělení požaduje filtraci nebo inspekci komunikace?

Platformní služby se typicky dělí na ty, které dokáží fyzicky běžet uvnitř zákaznické sítě (Azure Database for MySQL/PostgreSQL Flexible Server, Application Gateway, App Service Environment, SQL MI apod.) a ty, které jsou hostované v prostředí Microsoftu a do své vnitřní sítě je připojíte technologií Private Endpoint (Azure SQL, Azure Monitor...

Téma:  Networking  Security 




Kubernetes prakticky: vytváření vlastních politik v rego jazyce s OPA a promítnutím do Azure Policy

Minule jsme si prošli Azure Policy pro kontejnery a ukázali si, jak lze pěkně z jednoho místa řešit governance pro Azure Kubernetes Service i pro libovolný Kubernetes běžící kdekoli připojený do Azure prostředí přes Azure Arc. Využili jsme databáze hotových politik a ukázali si, že pod kapotou jsou pravidla napsaná...

Téma:  Governance  Security  Kubernetes 


Kubernetes prakticky: bezpečnostní politiky s Azure Policy pro Azure Kubernetes Service i váš on-premises Kubernetes/OpenShift

Už desítky let si v IT rádi definujeme nějaké politiky, abychom si udrželi v systémech pořádek a bezpečnost. Jak si je budeme označovat, jak nastavovat jednotlivé parametry, jaké doporučené postupy volit pro zajištění bezpečnosti, vysoké dostupnosti nebo provozuschopnosti? Obvykle se to projevilo ve směrnicích, dokumentaci nebo školeních. Například - pokud...

Téma:  Governance  Security  Kubernetes 


Nová generace integrace Azure PaaS do sítě zákazníka se roluje do prvních služeb

Před deseti lety PaaS běžela výhradně v “Internetu” a na mnoho použití to vůbec nevadilo. V posledních letech ale Azure nabídl dva způsoby těsnější integrace do privátní sítě zákazníka - vystavení PaaS přímo ve VNETu nebo promítnutí PaaS služby do zákaznického VNETu přes Private Link technologii. S některými službami nastupuje...

Téma:  Networking  Security 


Kubernetes prakticky: privátní AKS clustery

Za nejdůležitější bezpečnostní nastavení z pohledu přístupu administrátorů do vašeho AKS clusteru považuji určitě integraci na Azure Active Directory a s tím spojené silné přihlašování včetně možnosti více-faktoru, podmíněných přístupů a návazný RBAC. O tom jindy. Nicméně omezení vašeho clusteru po stránce síťové jako další stupeň bezpečnosti mi dává smysl...

Téma:  Kubernetes  Networking  Security 


Confidential Computing - zabezpečení dat při jejich používání, kdy ani root systému nemá šanci je rozlousknout

Všichni jsme jistě stokrát slyšeli o tom, že mám šifrovat “data in fly” a “data at rest”, tedy používat pouze bezpečné šifrované protokoly pro komunikaci a šifrovat disk, souborový systém nebo databázovou storage. Nicméně pokud chceme s daty něco dělat, například něco počítat, analyzovat nebo vyhledávat, potřebujeme, aby se nějaký...

Téma:  Security  Compute 



Azure Defender (6): Ochrana serverové infrastruktury - sledování integrity systému

Je fajn, když všechno zlé je odhaleno jako signatura nějakého malware nebo detekováním chování v rámci Azure Defender, ale váš systém může být ohrožen něčím naprosto cíleným, neznámým nebo třeba akcemi právoplatného správce. Co s tím? Ručně dělat reverse engineering ponořeni v hexadecimálním editoru koukaje do assembly za současného sledování...

Téma:  Security 









Bezpečnost Azure: Jak nepoužívat Service Principal díky Managed Identity a zbavit se tak čekání na ticket u vašeho enterprise IT

Jste enterprise firma a využíváte Azure? Pak je velká šance, že si nemůžete samostatně vytvářet účty service principal a potřebujete intervenci vašeho IT … a ta dost možná trvá … v lepších případech dny, jindy měsíc. Proč to tak bývá? Proč mít separátní tenant je fajn nápad, ale vhodný spíš...

Téma:  Security 




Pohled na hybridní svět IT nově i s Azure Arc

Na listopadové konferenci Ignite Microsoft oznámil další strategický krok v oblasti hybridních řešení - Azure Arc. Jak vypadá nasazení cloudového modelu nad vaší vlastní infrastrukturou, hostingem či libovolným cloudem nebo Kubernetes clustery od kohokoli a kdekoli? A jak to doplňuje technologii Azure Stack nebo IoT Edge? Dnes se na to...

Téma:  Monitoring  Security  Governance  IoT  AzureStack  Kubernetes  Arc 





Kubernetes praticky: doporučená bezpečnostní nastavení a scan s kubesec.io

Kontejnery nejsou typicky izolované na úrovni hypervisoru (ačkoli se v tomto směru objevují třeba kata containers nebo hyper-v containers, které to dělají), takže izolace probíhá na úrovni kernelu. Vaše aplikace v kontejnerech tedy reálně běží v kernelu hostitele. Opatrnost je tedy na místě. Dnes využijeme jednoduchý scanner best practice kubesec.io...

Téma:  Kubernetes  Security 








Kubernetes praticky: bezpečné řešení přístupu například do Key Vault přes AAD Pod Identity

Pokud chcete bezpečně řešit správu hesel, klíčů a certifikátů je vaší nejlepší volbou jejich uložení do Azure Key Vault a bezpečné vyzvedávání přímo aplikací. Místo použití Secret v Kubernetes se spolehnete na trezor, který je univerzální ať přistupujete odkudoli (Kubernetes, VM, WebApp, Functions, klient), je dokonale oddělen co do RBAC,...

Téma:  Kubernetes  Security 


Kubernetes prakticky: řízení přístupu (RBAC) s integrací na Azure Active Directory

Máte Azure Kubernetes Service a všichni do ní přistupujete pod sdíleným admin účtem? Tento postup pro produkčnější nasazení není vhodný a velmi doporučuji nasadit řízení přístupu (RBAC). Kde ale uživatelské účty vzít a zajistit maximální bezpečnost přístupů třeba včetně vícefaktorového ověřování? Azure Kubernetes Service můžete elegantně napojit na identitní systém...

Téma:  Kubernetes  Security  Governance 










Chcete maximální bezpečnost v Azure i jinde? Přemýšlejte o privilegované pracovní stanici.

Pokud je bezpečnost správy systémů (OS, DB, ...) pro vás to nejdůležitější, zvažte použití privilegované pracovní stanice. Možná to není pro administrátory zrovna pohodlné a flexibilní, ale je to skvělý způsob dramatického zvýšení bezpečnosti. Dnes si řekneme proč a jak to funguje a v dalším díle si vyzkoušíme některé příklady,...

Téma:  Security 


Jak oddělit správu hesel od nasazení Azure infrastruktury a aplikací s Azure Key Vault

Představte si, že Azure pro vás spravuje provozák, který má mít schopnost prostředí zakládat, ale neměl by znát heslo do databáze. MySQL služba nepoužívá Azure Active Directory pro ověřování, takže při jejím vytváření potřebujeme nějaké heslo určit. Stejně tak při konfiguraci aplikace potřebujeme skočit do VM a do konfiguračního souboru...

Téma:  Security