V polovině srpna spatřil světlo světa nový Azure AD Connect ve verzi zvané V2. Většina z vás tento nástroj pro synchronizaci identit asi zná, nicméně pro ty, co se s ním nikdy nesetkali, si dovolím krátké vysvětlení v následující větě. Jedná se o synchronizační nástroj, který slouží pro synchronizaci identit z on-premises Active Directory (AD DS) do Azure AD včetně velkého množství nastavení, synchronizace hesel, využití Single Sign-On a dalších důležitých parametrů.
Co nového nám tedy tato verze přináší:
SQL Server 2019 LocalDB – předešlá verze AD Connectu byla doručována s SQL 2012 LocalDB čemuž je teď konec. Nová SQL DB slibuje lepší stabilitu, výkon a několik bezpečnostních oprav.
MSAL autentizační knihovnu – předešlá verze používala ADAL autentizační knihovnu, které skončí podpora v prosinci 2022. Pokud vás zajímá více informací o MSAL knihovně mrkněte na tento přehled.
Visual C++ Redist 14 – důvodem pro nový C++ Redist balíček je využití nové databáze SQL Server 2019, která ho vyžaduje. Instalaci nemusíte provádět předem, vše se nainstaluje v rámci instalace Azure AD Connectu V2.
TLS 1.2 – verze TLS 1.0 a 1.1 již nejsou považovány za bezpečné a všeobecně nejsou Microsoftem využívány. Stejně tak všechny podporované verze serverových Windows systémů již mají ve výchozím nastavení zapnuté TLS 1.2. Pokud váš server TLS 1.2 nepodporuje nebo není zapnutý, tak bohužel AD Connect V2 nenainstalujete.
Binárky podepsané pomocí SHA2 – v Microsoftu si všimli, že předešlá verze podepisuje některé binárky pomocí SHA1, který již pro stahovatelné binárky nepodporují. Tím pádem bylo rozhodnuto, že je potřeba všechny binárky upgradovat s SHA2 podpisem. Díky těmto podpisům máte zajištěno, že při aktualizaci AD Connectu nedojde k podvržení falešného souboru s nějakým škodlivým obsahem.
Konec podpory pro Windows Server 2012 a Windows Server 2012 R2 – vzhledem k tomu, že se využívá SQL Server 2019 LocalDB, který podporuje systémy Windows Server 2016 a výše, tak odpadá možnost využívat tyto starší systémy, které budou příští rok mimo oficiální podporu (10. 10. 2023).
PowerShell 5.0 – Azure AD Connect V2 obsahuje několik cmdletů, které jednoduše potřebují nový PowerShell verze 5.0, tím pádem je toto nová prerekvizita pro instalaci nového AD Connectu.
Co tedy tato nová verze pro mě jako zákazníka znamená? V podstatě Microsoft doporučuje provést aktualizaci co nejdříve, protože předešlá verze využívá komponenty, které budou brzy mimo podporu a tím pádem budete využívat nepodporovaný produkt. Díky tomu bude z pohledu Microsoftu pro vás těžší obstarat oficiální podporu.
Nová verze jako taková neobsahuje žádné funkční vylepšení synchronizačního nástroje jde pouze o upgrade vnitřních komponent na novější verze.
Pokud byste si nevěděli rady s aktualizací na nejnovější verzi nebo chtěli poradit, stačí se nám ozvat a pokusíme se najít společně nejlepší řešení. Nejčastější otázky a odpovědi naleznete na oficiálním MS Docs.
Koncem března vydal Microsoft novou verzi Azure Front Door do general availability, takže ji můžete bez problému používat pro produkční systémy čímž je garantováno SLA 99,99% pro dostupnost. Ve zkratce, pro ty co se s Azure Front Door ještě nesetkali:
Azure Front Door je nativní, sjednocená a moderní cloudová síť pro doručování obsahu (CDN), která zajišťuje akceleraci dynamického a statického obsahu. Tato služba zahrnuje automatické zabezpečení na “klíč” a jednoduchý cenový model založený na globální síti Microsoftu. Existují dvě verze Azure Front Door: standardní a prémiová. Kombinují možnosti Azure Front Door (klasické), Azure CDN (klasické) a přidávají možnosti Azure Web Application Firewall (WAF). Tímto je zajištěno jednotné a bezpečné řešení pro doručování vašich aplikací, rozhraní API, obsahu v Azure nebo kdekoli ve velkém měřítku.
Vylepšená automatizace a nasazení – nyní můžete vytvářet vlastní registrované domény spolu s dalšími zdroji v rámci jednoho nasazení a zároveň při tom ověřit vlastníka domény. Lze také využít možnost rychlého vytvoření v rámci průvodce v Azure portálu.
Zaručená integrace v rámci Azure – nasazení služby lze také zrychlit díky integraci s ostatními službami v Azure jako je DNS nebo Web Apps. Aktuálně máte možnost ověření vlastní domény díky DNS TXT záznamu, čímž je celý proces významně urychlen.
Vylepšené analytické nástroje – přístupové logy, health probe logy, nové metriky měření a před vytvořené reporty pro bezpečnost a provoz usnadní a zefektivní monitorování, troubleshooting nebo případný debugging.
Rozšířená pravidla na „edge“ (hranici) – díky vylepšeným možnostem pro pravidla (přidání regulárních výrazů a server proměnných) můžete přesouvat vlastní business logiku na samý okraj sítě a tím vytvářet komplexnější a dynamický routing mezi uživateli a backendy systémy.
Rychlé doručení napříč světem
Skutečná globální síť – stovky okrajových lokalit připojených k Azure prostřednictvím privátní sítě WAN, která dokáže až třikrát zlepšit latenci aplikací a poskytuje spolehlivost na podnikové úrovni. Díky velké škálovatelnosti poskytuje nízkou latenci a vysokou propustnost pro konzistentnost aplikací a tím přispívá k lepší uživatelské zkušenosti.
Zjednodušený finanční model – odstranění poplatků na odchozí data z Azure regionů směrem k Azure Front Door. Cenové detaily ZDE.
Inteligentní bezpečnost
To nejlepší pro bezpečnost – nativní připojení bezpečnostních služeb jako vestavěná DDoS ochrana 3-4 vrstvy, Web Application Firewall, Azure DNS nebo využití Azure Private Link.
Zlepšení WAF (Web Application Firewall) – Azure Front Door Premium poskytuje nativně detekční či preventivní ochranu před běžnými útoky – lze přizpůsobit vašim požadavkům. WAF nově obsahuje také novou sadu pravidel DRS 2.0, díky které budete mít méně falešně pozitivních upozornění a dostupné detekování anomálií založené na score-based detekci. S využitím Bot manažera je zajištěna další ochrana pomocí Microsoft Threat Intelligence.
Podpora Azure Private Link – ve verzi Front Door Premium s dostupností ve všech regionech v rámci availability zón máte možnost nastavit privátní přístup díky privátním spojením od okraje sítě (egde) až po váš backend v Azure.
Stávající Azure Front Door a Azure CDN bude dále známé jako „Classic“. Můžete je stále využívat a stále budou plně podporované. Nicméně nové nasazení či přidávání nových funkcionalit se bude týkat pouze nové Azure Front Door služby. V následujících měsících plánuje Microsoft přesun těchto „legacy“ služeb na nový Azure Front Door Standard nebo Premium. Přesun by měl být pro zákazníky bez výpadku jejich služeb. Detailní informace o novém Azure Front Door naleznete na MS Docs.
V předchozím článku jsem detailněji rozebral disciplínu Resource Consistency, na kterou bude dnes navazovat další z celkem pěti disciplín Azure Governance a tou je konkrétně disciplína Security Baseline.
Pokud bychom chtěli převést do češtiny tento anglický název – Security Baseline, tak se budeme bavit o základních bezpečnostních opatřeních z pohledu IT v cloudovém prostředí. Bezpečnost je dnes základní komponentou každého IT oddělení, které má svou část nebo celou infrastrukturu v cloudu. Mnoho firem je regulováno z pohledu ochrany citlivých dat, což je při zvažování přechodu do cloudu jedna z hlavních priorit. Pro týmy kyberbezpečnosti musí být identifikace potencionálních hrozeb v cloudovém prostředí, stabilizace procesů a procedur na prvním místě v jejich pracovním žebříčku. V praktickém pojetí se při provádění Security Baseline disciplíny jedná zejména o definování a automatické vynucování základních bezpečnostních nastavení v cílovém prostředí tak, aby odpovídala bezpečnostní politice pro celé prostředí. Důležitou částí v této disciplíně je seznámení se s interními bezpečnostními směrnicemi pro IT a zákonným rámcem, ve kterém se zákazník musí pohybovat. Součástí je také sběr relevantních požadavků, které chce zákazník technicky promítnout do cloudového prostředí. Na základě těchto požadavků jsou definovány bezpečnostní politiky, standardy, šablony pro nasazení a další nastavení v rámci Azure, které budou auditovat a případně vynucovat specifikovaná nastavení.
Stejně jako při řešení disciplíny Resource Consistency se musíme i u Security Baseline zaměřit na rizika spojené s IT službami a firemního pohledu. U bezpečnosti nám jde především o ochranu dat, jejich klasifikaci, čerstvé bezpečnostní aktualizace a ochranu proti útokům. Všechny tyto aspekty lze sledovat v následujících ukázkových metrikách, které poskytnou lepší přehled o tom, čím je důležité se v této disciplíně zabývat. V podstatě se dá říct, že čím více vaše organizace v cloudu poroste, tím je potřeba se více zabývat bezpečnostními pravidly a sofistikovanějšími způsoby, jak tyto pravidla dodržovat, sledovat a případně vynucovat.
Metrika
Popis
Klasifikace dat
Množství dat nebo služeb, které jsou uloženy v cloudu a nemají žádnou klasifikaci vzhledem k firemním politikám o soukromí, dodržování zásad nebo standardům, které by měly dopad na podnikání.
Úložiště s citlivými údaji
Počet koncových bodů úložišť nebo databází, které obsahují citlivá data a měla by být chráněna.
Úložiště s nešifrovanými daty
Počet úložišť s citlivými daty, která nejsou šifrována.
Rozsah případného útoku
Jaké množství dat, služeb a aplikací bude hostováno v cloudu. Kolik procent těchto zdrojů s daty jsou klasifikována jako „citlivé“. Kolik procent aplikací a služeb jsou kriticky důležité.
Standardy zabezpečení
Množství bezpečnostních standardů definovaných bezpečnostním týmem.
Zabezpečené zdroje
Množství nasazených zdrojů, které jsou chráněny bezpečnostními standardy.
Přehled dodržování zásad (Compliance)
Poměr zdrojů, které jsou ve shodě s bezpečnostními zásadami.
Útoky dle vážnosti
Jaké množství koordinovaných pokusů o přerušení služeb (DDoS) bylo zaznamenáno. Jaká byla jejich velikost a vážnost?
Ochrana proti Malware
Procento nasazených virtuálních strojů, které mají všechny vyžadované způsoby ochrany – anti-malware, firewall nebo jiný nainstalovaný software zajišťující ochranu.
Čerstvost aktualizací
Doba, která uplynula od poslední aktualizace operačního systému nebo jiného nainstalovaného software.
Bezpečnostní doporučení
Počet bezpečnostních doporučení, které pomohou vyřešit vynucené standardy na nasazených zdrojích seřazených dle vážnosti.
Samotné definování zásad organizace není účinné, pokud je nelze automaticky vynucovat. Klíčovým aspektem plánování jakékoli migrace do cloudu je určení toho, jak nejlépe zkombinovat nástroje poskytované cloudovou platformou s vašimi stávajícími IT procesy a maximalizovat tak dodržování zásad napříč celou cloudovou infrastrukturou. Pro jedinou subskripci a základní nasazení zdrojů může být využito předem připravených funkcí, které nativně nabízí samotný Azure portál. Nastavení jednotnosti vychází ze samotného Cloud Adoption Frameworku, který pomáhá budovat základní stupeň dodržování zásad bez jakýchkoliv vstupních investic do Azure Governance. Funkce, které mohou být využity v rámci Azure portálu:
Šablony nasazení – možnost standardizované struktury a nastavení jednotlivých konfigurací.
Tagování a jmenný standard – pomůže organizovat zdroje, které jsou snadno identifikovatelné.
Správa přenosu a síťové omezení – možnost implementace pomocí Software Defined Networking.
RBAC – možnost zabezpečení a izolace zdrojů jen pro určité skupiny či uživatele.
Při rozhodování, kdy nasadit automatické vynucování bezpečnostních pravidel nebo pravidla nechat na samotných uživatelích závisí na velikosti firmy, počtu subskripcí a také jak moc máme schopné uživatele. Pomocníkem může být následující rozhodovací průvodce podobně jako u Resource Consistency disciplíny:
Na první pohled je viditelné, že čím je organizace větší, tím více je potřeba automatizovat aplikování bezpečnostních zásad a jejich vynucování. Přichází s tím ruku v ruce i větší zodpovědnost za cloudové zdroje a jejich množství. Proto je potřeba myslet na nutnost mít dobré monitorovací nástroje a využívat je co nejefektivněji.
Monitorování dodržování zásad (Compliance)
V reálném světe nelze spoléhat na to, že po nasazení politik a pravidel bude vše krásně zelené a budeme spokojení s tím, jak jsme nasadili Security Baseline. Důležité je samozřejmě sledovat, zdali se vše,, co jsme definovali, dodržuje, případně jaké zdroje dané politiky se nedodržují. Azure poskytuje nativní využívání notifikací, které mohou vlastníky zdrojů upozorňovat na nedodržování zásad a jejich nápravu. Součástí monitoringu by mělo být logování akcí a měsíční reportování s přehledem zdrojů a jejich stav splňující či nesplňující nastavené politiky. U rozsáhlejších prostředí může s tímto pomoci Azure Security Center, které poskytuje výše uvedené funkce.
Vynucování politik
Z pohledu vynucování politik a pravidel existují v podstatě dva způsoby, jak docílit cíleného efektu. První způsob je proaktivní, kdy jsme už například při vytváření zdroje omezeni určitými pravidly. Například můžeme pomocí Azure Policy definovat pouze povolené SKU velikosti virtuálních strojů, čímž zamezíme vytváření zbytečně drahých strojů, které nejsou potřeba. Druhý způsob je reaktivní a jde o nastavení politik, které budou sloužit pouze jako sledovače. Na základě jejich reportování uvidíme, které zdroje nesplňují chtěná nastavení, Ty pak můžeme vynucovat jinými způsoby nebo automatizovaně pomocí jiných politik či Azure Blueprints. Azure Blueprints nám pomáhají nasazovat a aktualizovat cloudová prostředí způsobem, který lze opakovat. To je zajištěno díky možnosti přidávat do blueprintů artefakty, jako jsou šablony Azure Resource Manager, řízení přístupu na základě RBAC rolí a Azure politiky. Azure Blueprints jsou skvělý způsob, jak zrychlit nasazování kompatibilních prostředí.
Disciplína Security Baseline je nikdy nekončící běh a měl by na to myslet každý IT architekt nebo administrátor. Jde o to, že se neustále objevují nové typy útoků a společnosti by se měly adaptovat a měnit své návyky, aby jejich prostředí bylo dostatečně zabezpečeno. Postupem času každá firma aktualizuje svá vnitrofiremní pravidla, přičemž jejich změna by se měla promítnout i v IT oblasti a nasazení politik.
V příštím článku této pětidílné série se podíváme na disciplínu Cost Management, kde vysvětlím důležitost sledování měsíčních nákladů na provoz cloudu a jaké nástroje nám pomohou s jejich sledováním a reportováním.
Dnešní díl navazuje na předchozí článek 5 TOP best practices v Azure Governance – 1. díl, kde jsem rozebral vhodné praktiky z pohledu Azure Governance pro první dvě disciplíny – Cost Management a Resource Consistency. Dnes se zaměřím na zbývající tři disciplíny včetně rad a doporučení, které by měl následovat každý, kdo to s Microsoft Azure myslí vážně a chce mít své prostředí pod kontrolou, zabezpečené a za přijatelnou cenu.
Mějte dostatečné zabezpečení – Security Baseline
V dnešní době se musí bezpečnosti věnovat hodně času, přece jen jsou útoky poslední dobou sofistikovanější a častější než dříve. Na druhou stranu by nemělo panovat přesvědčení „Bezpečnost nadevše“, to by totiž mohlo způsobit složité a nepříjemné používání systémů pro koncové uživatele včetně IT správců, a to nikdo nechce. Je tedy rozumné najít kompromis mezi použitelností systému a dobrým zabezpečením. Bezpečnost v Azure lze rozdělit na základní tři stavební kameny:
Ochrana dat
Zabezpečení infrastruktury před hackerskými útoky
Aplikování a dodržování bezpečnostních zásad
Ochranu dat zajistíme dostatečným šifrováním komunikace v síti, úložišť, VM disků, uchováváním tajemství v Azure KeyVault a samozřejmě dostatečným zálohováním. Co se týče hackerských útoků, tak je opět celá řada nástrojů, díky kterým si můžeme prostředí více zabezpečit. Azure jako takový už nativně poskytuje mnoho vrstev (Network Security Groups, Basic DDoS Protection, fyzické zabezpečení datacenter, auditování a další), které chrání vaše zdroje, a navíc k nim můžete přidat například Standard Protection DDoS plány pro veřejné IP adresy, které detekují útok a ihned vás o něm informují včetně reportingu, Azure Firewall, Azure Site Recovery, Traffic Manager, Application proxy a spoustu dalších.
Pokud jde o vynucování bezpečnostních zásad v Azure, tak s tím velmi pomohou Azure Policy. Firma má nějaké vnitrofiremní bezpečnostní politiky pro IT a ty je potřeba promítnout i do cloudového prostředí. Azure Policy využívá pro definici politik a nastavení JSON formát. Přímo v Azure portálu je již připravených několik šablon, které lze ihned aplikovat. Je potřeba si však ujasnit, zda chceme dodržování politik jen sledovat nebo je rovnou i vynucovat – lze automaticky nebo manuálně.
Jak vypadá přehled politik a jejich dodržování můžete vidět na obrázku níže:
Doporučovanou službou je také Azure Security Center, která poskytuje kompletní přehled stavu zabezpečení. Díky tomu máte vše na jednom místě, včetně doporučených postupů, jak zabezpečení zlepšit.
Častým nešvarem v nekontrolovaných prostředích je zmatek při udělování práv a přehled o tom kdo disponuje vlastnickými právy. Často se setkáváme s tím, že práva vlastníka (což jsou ty nejvyšší, pokud nebereme v potaz administrátora tenantu 😊) jsou přidělovány velmi často a také zbytečně. Jde o to, že se nikomu nechce zamýšlet nad tím, jaká práva daný uživatel vůbec potřebuje, a raději mu dá všechny, než aby ho později uživatel zase obtěžoval, že mu něco nefunguje. Azure má vynikající Role-Based Access Model – RBAC, který má již předdefinované role s určitými právy, a tak odpadá skutečnost, že byste se musel jako IT správce topit v detailním rozboru práv. Rolí existuje opravdu mnoho a ve většině případů si s nimi vystačíte. Existuje i možnost vytvoření vlastních rolí, což ale moc osobně nedoporučuji, protože se špatně hlídají Pokud si každý začne vytvářet vlastní role dle potřeby, tak v rolích začne být opět zmatek. Doporučením je používat princip least-privilege u kritických zdrojů vaší infrastruktury.
Least-Privilege – jde o koncept a praktiky, které udělují uživatelům, servisním účtům a procesům pouze taková práva, která jsou nutná pro vykonávání rutinních nebo legitimovaných operací.
Součástí identit je určitě i jejich zabezpečení. Ukradená identita dokáže nadělat spoustu škody, a to opravdu nikdo nechce. Proto je vhodné využívat služby typu Multi-Factor Authentication, Conditional Access, Single Sign-On pro přihlašování (Azure AD password hash synchronization nebo Azure AD Pass-through Authentication), Privileged Identity Management, který se používá na straně Azure a Privileged Access Management, který se využívá v lokálních AD.
Privileged Identity Management & Privileged Access Managementposkytují časovou a schvalovací aktivaci rolí na zdroje, které jsou pod vaší správou. Zmírňuje se tím riziko přidělení práv špatné osobě nebo nadměrné či nechtěné přihlašování na váš zdroj. Zjednodušeně řečeno, když někdo potřebuje přístup nebo práva, tak si o ně musí říct a někdo to musí posoudit, zda je požadavek relevantní a schválit ho.
Poskytují just-in-time privilegovaný přístup do Azure AD nebo Azure zdrojům, případně on-premise AD (PAM).
Dokážou přiřadit určitý čas, kdy bude zdroj přístupný.
Vyžádání schválení při přiřazení privilegovaných práv.
Dokážou vynutit MFA pro aktivaci jakékoli role na vašem zdroji.
Poskytují notifikace při přidělení práv, možnost využít i vynucení informace při aktivaci rolí.
Provádí kontroly přidělených práv, zdali jsou stále potřeba.
Možnost stažení audit historie.
Automatizujte ve váš prospěch – Deployment Acceleration
Už ze samotného principu cloudu nám jde o to co nejvíce automatizovat. Šetříme tím čas a peníze, což jsou dva podstatné faktory. Automatizovat se má tam, kde to dává smysl a není to spíše na škodu, protože úplně všechno automatizovat nelze (zatím😊). V Azure nám jde především o automatizaci při nasazování zdrojů, aplikací nebo kódu.
Automatizace nasazení zdrojů – existuje několik možností od nativních až po ty více složité. Nejjednodušším příkladem je využívání Azure Resource Manager šablon (ARM templates). Principem automatizace v tomto případě může být nejprve manuální nasazení zdroje a poté vyexportování šablony do knihovny. Jakmile máme šablonu připravenou dle našich představ, tak opětovné nasazení stejného zdroje, byť i s jinými parametry může být mnohem rychlejší než předtím.
Poměrně novou Azure službou, která je zatím stále v public preview jsou Azure Blueprints – slouží k rychlému vybudování předem definovaného prostředí, které je v souladu s firemními politikami. V podstatě si předem připravíte šablonu s veškerými zdroji, které chcete nasadit a k tomu přidáte předem vytvořené politiky, které mohou řešit dodržování bezpečnostních zásad nebo principy řízení zdrojů. Díky tomu dokážete vytvořit v Azure celé prostředí během několika kliknutí.
S automatizací u vývoje dokáže pomoct služba Azure DevOps, která poskytuje vývojářské služby pro podporu plánování práce, kolaboraci na vývoji kódu a kompilaci včetně nasazování aplikací. Azure DevOps je cloudová verze tohoto pracovního prostoru, pro on-premise se využívá Azure DevOps Server, který byl dříve znám jako Visual Studio Team Foundation Server (TFS).
Azure DevOps poskytuje integrované funkce, které jsou klasicky přístupné přes webový prohlížeč nebo IDE klienta:
Azure Repos poskytuje Git repositáře nebo Team Foundation Version Control (TFVC) pro kontrolu verzí kódu.
Azure Pipelines poskytuje „build a release“ služby pro podporu kontinuální integrace a doručení aplikací.
Azure Boards obsahuje balík agilních nástrojů pro podporu plánování, sledování práce, chyb v kódu a dalších problémů pomocí Kanban a Scrum metod.
Azure Test Plans poskytují několik nástrojů pro otestování vašich aplikací včetně manuálního/průzkumného testování a kontinuálního testování.
Azure Artifacts dovoluje týmům sdílet Maveny, npm a NuGet balíčky z veřejných a soukromých zdrojů, přičemž integruje sdílení balíčků do vaší CI/CD pipeliny.
Níže je přehled nejběžnějších automatizačních nástrojů pro dané oblasti:
Automatická konfigurace VM
Ansible, Chef, Puppet a Azure Resource Manager šablony
Další specifické VM nástroje pro přizpůsobení jako např. cloud-init pro Linux VM nebo PowerShell Desired State Configuration (DSC) a Azure Custom Script Extension pro všechny Azure VM.
Automatizace infrastruktury
Nástroj Packer pro automatické vytváření vlastních VM imagí
TerraForm pro automatické nasazení celé infrastruktury nebo její části.
Azure Automation, který vykonává automatické akce skrze Azure nebo on-premise infrastrukturu.
Automatizace pro nasazení aplikací a jejich doručení
