Jak funguje Managed Identity v Azure

Na tomto blogu už jsem popisoval, jak je managed identity výborný způsob přihlašování aplikace k službám jako je Blob Storage, Azure SQL, Azure Database for PostgreSQL a jiným službám nebo třeba Azure Key Vault (pro vyzvednutí certifikátů) nebo do Azure samotného (například k automatizaci pro vaše skripty, Azure CLI, Terraform,...

21. 5. 2020

Téma:  Security 

---

Privátní leč cenově dostupná WebApp díky Private Link pro App Service v Azure

Azure Applicaiton Services a především její slavná WebApp je jedna z nejstarších a nejpoužívanějších služeb Azure společně s Azure SQL. Původně začala jako platforma pro provoz .NET aplikací, ale už před pěti lety uměla Javu a další jazyky a v posledních letech přišla i podpora kontejnerů a Linux verze včetně...

11. 5. 2020

Téma:  Network  Security  AppService 

---

Bezpečnost Azure: Jak nepoužívat Service Principal díky Managed Identity a zbavit se tak čekání na ticket u vašeho enterprise IT

Jste enterprise firma a využíváte Azure? Pak je velká šance, že si nemůžete samostatně vytvářet účty service principal a potřebujete intervenci vašeho IT … a ta dost možná trvá … v lepších případech dny, jindy měsíc. Proč to tak bývá? Proč mít separátní tenant je fajn nápad, ale vhodný spíš...

14. 4. 2020

Téma:  Security 

---

Azure DDoS Protection Standard: jak funguje a proč si pořídit

Azure má k dispozici DDoS ochranu s celkovou kapacitou přes 30 Tbps, což je minimálně 10x víc, než dosud nejsilnější zaznamenaný útok. Jak vás může chránit, jak funguje a proč si pořídit? Důležitým věcem typu jaký je rozdíl mezi volumetrickým, protokolovým a aplikačním útokem nebo co zahrnuje Azure DDoS Protection...

12. 2. 2020

Téma:  Networking  Security 

---

Kubernetes praticky: role Service Mesh

V poslední době je mnoho diskusí kolem konceptu Service Mesh a mnoho lidí se na něj dívá jako ná spásu světa. Něco na tom je, ale nic není zadarmo - roste složitost, latence a spotřeba zdrojů. Stojí to za to? Na to se dnes zkusím podívat. A jak si mám...

12. 12. 2019

Téma:  Kubernetes  Kontejnery  Networking  Security  ServiceMesh 

---

Pohled na hybridní svět IT nově i s Azure Arc

Na listopadové konferenci Ignite Microsoft oznámil další strategický krok v oblasti hybridních řešení - Azure Arc. Jak vypadá nasazení cloudového modelu nad vaší vlastní infrastrukturou, hostingem či libovolným cloudem nebo Kubernetes clustery od kohokoli a kdekoli? A jak to doplňuje technologii Azure Stack nebo IoT Edge? Dnes se na to...

11. 11. 2019

Téma:  Monitoring  Security  Governance  IoT  Azure Stack  Kubernetes 

---

Privátní napojení vaší vlastní služby v SaaS stylu s Azure Private Link Service

Před časem jsem popisoval a testoval službu Private Link, která vás může přímo z vašeho VNETu napojit do platformní služby v Azure. Zkoušel jsem Storage account a Azure SQL, ale chystá se i plejáda dalších služeb. Víte ale, že celá technologie není určena jen pro Azure PaaS, ale můžete ji...

6. 11. 2019

Téma:  Security  Networking 

---

Moderní autentizace: oprávnění pro procesy běžící v pozadí s AAD

V minulém díle jsme se pustili do autorizace aplikace, která přistupovala na Payroll API. Dnes budeme chtít vyřešit dva problémy. Co když potřebujeme, aby naše aplikace fungovala v pozadí i po té, co uživatel opustil stránku a v pozadí s Payroll API komunikovala jménem uživatele? Token po hodině vyprší a...

15. 10. 2019

Téma:  Security  AAD 

---

Moderní autentizace: delegovaná oprávnění s OAuth2 a AAD

Představme si, že budujeme aplikaci, ve které si uživatel může prohlédnout a změnit svoje údaje - číslo účtu pro posílání výplaty, svoje telefonního číslo apod. Například ten telefon bude uložen v AAD profilu a tak budeme chtít zavolat Microsoft Graph API. To se dá použít na spoustu věcí v rámci...

7. 10. 2019

Téma:  Security  AAD 

---

Kubernetes praticky: doporučená bezpečnostní nastavení a scan s kubesec.io

Kontejnery nejsou typicky izolované na úrovni hypervisoru (ačkoli se v tomto směru objevují třeba kata containers nebo hyper-v containers, které to dělají), takže izolace probíhá na úrovni kernelu. Vaše aplikace v kontejnerech tedy reálně běží v kernelu hostitele. Opatrnost je tedy na místě. Dnes využijeme jednoduchý scanner best practice kubesec.io...

1. 10. 2019

Téma:  Kubernetes  Kontejnery  Security 

---

Moderní autentizace: ověřování zákazníků s OpenID Connect v AAD B2C

V minulém díle jsme použili OpenID Connect pro ověřování interních (nebo federovaných) uživatelů v AAD a dnes se zaměříme na koncové zákazníky. Ty typicky nechcete spravovat ve stejném tenantu, ale ve vyčleněném pro tyto účely. Přesně na to je Azure Active Directory B2C, která ale řeší dost dalších věcí, které...

24. 9. 2019

Téma:  Security  AAD 

---

Moderní autentizace: ověřování interního uživatele s OpenID Connect v AAD

Dnes se podíváme na scénář jednoduchého přihlašování uživatele a nebudeme vyžadovat autorizaci, tedy neřešíme přístup k nějakým dalším zdrojům a API, chceme jen čistě zjistit, kdo s námi vlastně mluví. K tomu využijeme OpenID Connect, standardizovanou nadstavbu nad OAuth2. V dnešním díle si vyzkoušíme pro firemní aplikaci s AAD a...

20. 9. 2019

Téma:  Security  AAD 

---

Privátní napojení PaaS služeb do VNETu s Azure Private Link

Existují platformní služby, které v single-tenant režimu napojíte rovnou do VNETu (tedy na privátní adresy) a můžete je pak využívat z IaaS infrastruktury nebo přes Azure VPN či Express Route. Tyto alternativy ale mohou mít trochu jinou funkčnost a mohou být dražší (což je logické, protože jsou single-tenantní a tím...

18. 9. 2019

Téma:  Security  Networking  Storage  SQL 

---

Moderní autentizace: od SELECT password FROM k Oauth2

V sérií článků na téma moderní autentizace budu objevovat detaily přihlašování a autorizace z pohledu protokolů. Projdeme si proč to vzniklo a k čemu je to dobré a pak se pustíme do jednotlivých scénářů a vyzkoušíme si je s Azure Active Directory. Nejste programátoři? Já také ne, nemusíte se děsit....

12. 9. 2019

Téma:  Security  AAD 

---

Automatické získávání IP range PaaS služeb v Azure přes API

Platformní služby Azure typicky běží na public endpointech a zejména při komunikaci z on-premises se vám může hodit znát rozsahy veřejných IP adres, na kterých běží. Důvody mohou být pro implementaci klasického pohledu na bezpečnost, ale také důvody praktické. Jsou služby, které mohou znamena masivní přenosy dat (třeba storage account)...

19. 8. 2019

Téma:  Networking  Security 

---

Kubernetes praticky: vystavování aplikací s Ingress a Azure App Gateway (WAF)

Na tomto blogu už jsem ukazoval vystavování aplikací přes objekt Service a s využitím typu LoadBalancer vám Kubernetes ve spolupráci s Azure Load Balancer zajistí vystrčení ven z clusteru na private nebo public IP adresu. Nicméně to má své nevýhody. Adres může být zbytečně moc, neřeší to L7 funkce jako...

12. 8. 2019

Téma:  Kubernetes  Kontejnery  Networking  Security 

---

Kubernetes praticky: bezpečné řešení přístupu například do Key Vault přes AAD Pod Identity

Pokud chcete bezpečně řešit správu hesel, klíčů a certifikátů je vaší nejlepší volbou jejich uložení do Azure Key Vault a bezpečné vyzvedávání přímo aplikací. Místo použití Secret v Kubernetes se spolehnete na trezor, který je univerzální ať přistupujete odkudoli (Kubernetes, VM, WebApp, Functions, klient), je dokonale oddělen co do RBAC,...

6. 6. 2019

Téma:  Kubernetes  Kontejnery  Security 

---

Kubernetes prakticky: řízení přístupu (RBAC) s integrací na Azure Active Directory

Máte Azure Kubernetes Service a všichni do ní přistupujete pod sdíleným admin účtem? Tento postup pro produkčnější nasazení není vhodný a velmi doporučuji nasadit řízení přístupu (RBAC). Kde ale uživatelské účty vzít a zajistit maximální bezpečnost přístupů třeba včetně vícefaktorového ověřování? Azure Kubernetes Service můžete elegantně napojit na identitní systém...

24. 4. 2019

Téma:  Kontejnery  Kubernetes  Security  Governance 

---

Dynamické schvalování přístupů do Azure s Privileged Identity Management

Na svém notebooku občas potřebujete spustit proces, který je privilegovaný a nainstaluje nějaký software. To ale neznamená, že je dobrý nápad trvale pracovat pod účtem root nebo Administrator. Na privilegovaný účet eskalujete pouze v okamžiku, kdy je to vážně potřeba. Na to jsme všichni zvyklí, pojďme totéž dělat v Azure....

8. 4. 2019

Téma:  Governance  Security 

---

Modernizujte konektivitu vašich poboček s Azure Virtual WAN

Jak máte víc a víc aplikací v Azure z nichž řada z nich vyžaduje privátní konektivitu možná vám začne dávat smysl využít Azure i pro propojení poboček po celém světě. Tradiční řešení, L3 VPN MPLS služba operátora, se dá dobře využít s Express Route, kdy se z Azure stane vlastně...

2. 4. 2019

Téma:  Networking  Security 

---

Enterprise governance s Azure Blueprints pro všechny vaše subskripce

Azure nabízí výborné prostředky pro řízení vašeho cloudu z pohledu přístupů, politik a governance obecně. Tohle všechno můžete zabalit do blueprintu a řídit jeho aplikaci na celý váš enrollment - jednotlivé vaše země, dceřinky, organizační celky i samotné subskripce. Podívejme se dnes na Azure Blueprints a koncepty, které využívá jako...

31. 1. 2019

Téma:  Security  Governance 

---

Předávání tajností do App Service (WebApp) přes Azure Key Vault

Ve vaší WebApp můžete udržovat konfigurační parametry v záložce Application Settings. Tyto jsou bezpečně uloženy, nicméně jejich správu musíte provádět přes WebApp samotnou. Na ukládání tajností jako jsou hesla nebo connection stringy je k dispozici výborná služba Azure Key Vault. Od včerejška je možné ji použít i pro předávání parametrů...

29. 11. 2018

Téma:  AppService  Security 

---

Nemodifikovatelná storage v Azure pro zákonné držení vašich dokumentů

Jsou situace, kdy potřebujete do storage nahrát nějaké dokumenty a zajistit, že je po určité rozhodné období není možné smazat nebo modifikovat a to ani s největšími administrátorskými právy. Možná jde o uživatelem nahrané dokumenty nebo logy z vašich systémů, které musíte držet například po dobu dvou let pro případ...

25. 10. 2018

Téma:  Storage  Security 

---

Nový Azure Firewall: na co se hodí a v čem je jiný, než NSG nebo App Gateway?

Před pár dny bylo uvedeno preview produktu Azure Firewall. Kdy mám použít Network Security Group, kdy Application Gateway, kdy Azure Firewall a kdy prvky třetích stran? Pojďme si na to odpovědět a Azure Firewall vyzkoušet. Řízení síťového provozu v Azure Azure nabízí dva nativní prostředky, které jsou k dispozici zdarma....

23. 7. 2018

Téma:  Security  Networking 

---

Přihlašujte se do Linux VM v Azure s AAD a třeba i vícefaktorově

Při vytváření VM v Azure specifikujete přihlašovací údaje administrátora. Tímto účtem se připojíte a řešíte to dál. Možná přidáte účty pro vaše kolegy, ale pokud máte takových VM sto a jeden z účtů je kompromitovaný (nebo ten člověk u vás už nepracuje), je dost práce to změnit. Linux s tím...

21. 5. 2018

Téma:  Compute  Security 

---

Jak aktivovat bezpečnou vzdálenou správu Windows s WinRM a Azure Key Vault

Klasické nasazení Windows VM v Azure funguje tak, že aktivujete RDP, připojíte se do VM a uděláte co potřebujete (třeba zapnete WinRM, začleníte server do domény apod.). Půlroční releasy Windows 2016 už ale nepřichází s kompletním GUI, takže se přes RDP stejně napojíte rovnou na PowerShell a odtamtud pokračujete dál....

15. 5. 2018

Téma:  PowerShell  Security  Compute 

---

Chcete maximální bezpečnost v Azure i jinde? Přemýšlejte o privilegované pracovní stanici.

Pokud je bezpečnost správy systémů (OS, DB, ...) pro vás to nejdůležitější, zvažte použití privilegované pracovní stanice. Možná to není pro administrátory zrovna pohodlné a flexibilní, ale je to skvělý způsob dramatického zvýšení bezpečnosti. Dnes si řekneme proč a jak to funguje a v dalším díle si vyzkoušíme některé příklady,...

7. 5. 2018

Téma:  Security 

---

Jak oddělit správu hesel od nasazení Azure infrastruktury a aplikací s Azure Key Vault

Představte si, že Azure pro vás spravuje provozák, který má mít schopnost prostředí zakládat, ale neměl by znát heslo do databáze. MySQL služba nepoužívá Azure Active Directory pro ověřování, takže při jejím vytváření potřebujeme nějaké heslo určit. Stejně tak při konfiguraci aplikace potřebujeme skočit do VM a do konfiguračního souboru...

30. 4. 2018

Téma:  Security 

---

Azure Security + Management - hybridní monitoring infra, aplikací i bezpečnosti

Včera jsem měl možnost mluvit na webináři, který představil Azure nabídku pro oblast hybridní správy, tedy řešení nejen pro Azure, ale pro systémy v on-premises, hostingu či jiném cloudu. Nejprve vás v 15 minutách seznámím s celkovým pohledem na správu a zmíníme tři nejdůležitější oblasti, které následně uvidíte - monitoring...

27. 4. 2018

Téma:  Monitoring  Security 

---

Zabraňte spouštění neschválených procesů v produkci s Azure Security Center

Dnešní útoky na vaše prostředí už nejsou tolik o hackování firewallů, ale spíše o infiltraci do infrastruktury, kde vstupním bodem bývá zdařilý útok na RDP/SSH či průnik přes phishing na klientovi. Aby se ale útočník dostal k něčemu zajímavému musí se propracovat k serverům. Na nich si obvykle potřebuje spustit...

25. 4. 2018

Téma:  Security 

---

Jak navrhnout FW pravidla v Azure s NSG a ASG

Pokud z nějakého důvodu nemůžete použít platformní službu (PaaS), možná stojíte před úkolem jak nastavit firewall pravidla pro aplikaci ve VM, která má dvojici webových serverů přístupných z venku a dvě databázové VM. Jak to udělat? Mikrosegmentace per VM? Nebo pravidla na subnet? A co aplikační objekty s ASG? Podívejme...

20. 4. 2018

Téma:  Security  Networking 

---

Governance v Azure: jak se kupuje, organizuje a dělají subskripce

Jste enterprise firma a myslíte to s cloudem vážně? Pak určitě budete chtít dobře řídit governance - kdo co smí, co komu patří, jaké politiky se mají vynutit, jak si rozdělit práci, jak řídit náklady. V tomto seriálu se na to zaměříme. Pokud Azure zkoušíte a platíte kreditkou, máte asi...

19. 2. 2018

Téma:  Governance  Security 

---

Governance v Azure: jmenná konvence a tagování

Jste enterprise firma a myslíte to s cloudem vážně? Pak určitě budete chtít dobře řídit governance - kdo co smí, co komu patří, jaké politiky se mají vynutit, jak si rozdělit práci, jak řídit náklady. V tomto seriálu se na to zaměříme. Dnes se podíváme na téma, které sice není...

7. 2. 2018

Téma:  Governance  Security 

---

Governance v Azure: řízení přístupu a provozní politiky

Jste enterprise firma a myslíte to s cloudem vážně? Pak určitě budete chtít dobře řídit governance - kdo co smí, co komu patří, jaké politiky se mají vynutit, jak si rozdělit práci, jak řídit náklady. V tomto seriálu se na to zaměříme. Dnes se podíváme na jemné řízení přístupu k...

29. 1. 2018

Téma:  Security  Governance 

---

Ochraňte svojí aplikaci v Azure s WAF a Security Center

Máte v infrastrukturní službě v Azure nasazenou aplikaci ve VM a chcete ji chránit před útoky na úrovni protokolu a aplikace jako SQL injection a podobně? Nebo chcete využít veřejného endpointu v cloudu pro ochranu vaší on premise aplikace? Podívejme se, jak Azure Security Center mimo jiné umí automatizovaně nasadit...

11. 12. 2017

Téma:  Security 

---

Přístup k PaaS SQL nebo Storage z vnitřní sítě Azure VNet

Platformní služby mají velmi příjemné vlastnosti z hlediska funkcí, ale i škály a cenové dostupnosti. To ale typicky znamená, že pro využití výnosů z rozsahu jsou některé jejich komponenty multi-tenantní - například jejich interní balancer apod. To znemožňuje nebo znesnadňuje (prodražuje) jejich instalaci ve VNET, privátní síti. Většinou to nevadí....

2. 10. 2017

Téma:  Security  Networking 

---

Just-in-time access bezpečnost s Azure Security Center

Většina administrátorů chce mít možnost připojit se do VM v případě, že se děje něco špatného a ručně zasáhnout. Proto vyžaduje síťově otevřený přístup na SSH, RDP, VNC nebo WinRM port. Tomu velmi rozumím, ale proč nechávat port otevřený i při běžném provozu zbytečně a vystavovat se riziku pokusů o...

27. 7. 2017

Téma:  Security 

---

Azure Security Center: Update management aneb patchujte Windows i Linux

Azure Security Center (produkt, který postupně konsoliduje vlastnosti security v Azure a bezpečnostní analýzu OMS), nástroj pro hybridní správu vašeho datového centra i cloudu, nabízí schopnost přehledu chybějících aktulizací operačních systému Windows a Linux. Ujistěte se, že jsou vaše servery v dobrém stavu a můžete ASC využít i k inicializaci...

25. 6. 2017

Téma:  Monitoring  Security 

---

AlwaysEncrypted jako end-to-end šifrování s Azure SQL Database

Potřebujete všechna data v databázi šifrovaná a to včetně jejich záloh? Na to je ideální použít Transparent Data Encryption (o tom v jiném článku). Je to jednoduché a v Azure SQL doslova na kliknutí. Někdy ale potřebujete šifrovat tak, že ani administrátor databáze data nepřečte. Možná to ani nemusí být...

24. 4. 2017

Téma:  SQL  Security 

---

Schováváme citlivá data v Azure SQL Database s Data Masking

Azure SQL má zajímavou funkci Data Masking, která "za živa zahvězdičkuje" citlivá data. Přemýšlel jsem, k čemu je to dobré. Pokud řešíme přístup uživatelů k datům a některý z nich jednoduše číslo kreditní karty nebo rodné číslo vidět nemá, použil bych asi jinou metodu. například column security (o tom jindy),...

10. 4. 2017

Téma:  SQL  Security 

---

Více-faktorové ověřování v on-premise díky Azure MFA

V Azure je perfektní prostředí pro moderní řízení a ověřování identit - Azure AD postavená na OAuth 2.0 pro aplikace a podpora velmi bezpečného více-faktorového ověřování (kromě jména a hesla i telefonát, SMS, aplikace v mobilu apod.). Ale co on-premise svět? Váš Exchange s OWA, remote desktop, VPNky, intranet a...

13. 3. 2017

Téma:  Security  AzureAD 

---

Přístupy uživatelů k tabulkám a sloupcům v Azure SQL Database

Data uložená v Azure SQL databázi nemusí být určena každému - určitě se nám budou hodit účty, které nesmí zapisovat a mohou jen číst. A možná v některé z tabulek bude konkrétní sloupeček, který nechceme, aby viděl každý. Dnes si pohrajeme s účty v Azure SQL. Klasický SQL user vs....

9. 3. 2017

Téma:  SQL  Security 

---