Nativní Azure Monitor a Microsoft Sentinel nově umí levnější logy a zabudovanou levnější archivaci - praxe (část 2)

V minulém díle jsem zkoumal nové vlastnosti Log Analytics pro Azure Monitor a Microsoft Sentinel, které mohou výrazně prolevnit celé řešení - basic logs, archive tier, search jobs a restore. Dnes si to vyzkoušíme prakticky. V následujících textech budu pro některé operace používat přímo API. GUI pro nastavování archivací a...

22. 3. 2022

Téma:  Monitoring  Security  Kubernetes 

---

Federace tokenů GitHub Actions s Azure Active Directory pro přístup z vaší CI/CD do Azure bez hesel

V článku Federace vnitřních Kubernetes identit s Azure Active Directory pro přístup k cloudovým službám bez hesel jsem ukazoval, jak lze využít federaci workload identit AAD v kombinaci s Kubernetes. Díky možnosti doručit kontejneru token Kubernetes identity a ten si směnit v AAD za token například pro Azure Key Vault...

8. 3. 2022

Téma:  Automatizace  Security  AAD 

---

Nativní Azure Monitor a Microsoft Sentinel nově umí levnější logy a zabudovanou levnější archivaci - analýza nákladů (část 1)

Log Analytics jsou kombinace specializovaného databázového stroje, ingesting pipelines a agentů pro sběr dat ze strojů. Pod kapotou je v roli datového engine Azure Data Explorer. Nad Log Analytics jsou pak vystavena tři velká řešení. Tím prvním je Azure Monitor, který do toho vnáší sběr specializovaných informací (obohacuje základní agenty...

1. 3. 2022

Téma:  Monitoring  Security  Kubernetes 

---

Federace vnitřních Kubernetes identit s Azure Active Directory pro přístup k cloudovým službám bez hesel

Předávat aplikacím nějaké tajnosti jako jsou hesla nebo certifikáty je vždy docela nepohodlné, zejména, když nechcete prasit a dodržujete bezpečnostní hygienu (pravidelná rotace, nikdy neuloženo v Gitu nebo na disku, nikdy nezalogováno nebo odesláno do crash dumpu). Ve zdrojích běžících v Azure ve vašem tenantu to lze elegantně řešit přes...

15. 2. 2022

Téma:  Kubernetes  Security  AAD 

---

Azure Private Endpoint - co dělat, když bezpečnostní oddělení požaduje filtraci nebo inspekci komunikace?

Platformní služby se typicky dělí na ty, které dokáží fyzicky běžet uvnitř zákaznické sítě (Azure Database for MySQL/PostgreSQL Flexible Server, Application Gateway, App Service Environment, SQL MI apod.) a ty, které jsou hostované v prostředí Microsoftu a do své vnitřní sítě je připojíte technologií Private Endpoint (Azure SQL, Azure Monitor...

4. 2. 2022

Téma:  Networking  Security 

---

SQL Ledger - kostičky, řetízky a kryptografická auditovatelnost vašich dat bez složitostí

Azure SQL Database a SQL Server 2022 podporují funkci Ledger, která dokáže všechny změny v datech kryptograficky označovat, zabalit do bloků a ty navázat jeden na druhý - udělat řetěz bloků, blockchain. Ne - není to ani nová platební měna, ani platforma pro NFT nákupy puberťáků, ani nevytváří nějaký distribuovaný...

18. 1. 2022

Téma:  SQL  Security 

---

Prolevněte si Azure Sentinel s Fluent Bit, Blobem a Azure Data Explorer

Kritické bezpečnostní informace je ideální sbírat do Azure Sentinel, SIEM řešení nové generace zrozené v cloudu. Ať už jde o bezpečnostní logy, detekované anomálie a incidenty z různých nástrojů, podezřelá přihlášení a tak podobně - to všechno je skvělé mít v jedné analytické platformě a nad tím provádět v téměř...

8. 11. 2021

Téma:  Security  Monitoring 

---

Kubernetes prakticky: vytváření vlastních politik v rego jazyce s OPA a promítnutím do Azure Policy

Minule jsme si prošli Azure Policy pro kontejnery a ukázali si, jak lze pěkně z jednoho místa řešit governance pro Azure Kubernetes Service i pro libovolný Kubernetes běžící kdekoli připojený do Azure prostředí přes Azure Arc. Využili jsme databáze hotových politik a ukázali si, že pod kapotou jsou pravidla napsaná...

23. 9. 2021

Téma:  Governance  Security  Kubernetes 

---

Kubernetes prakticky: bezpečnostní politiky s Azure Policy pro Azure Kubernetes Service i váš on-premises Kubernetes/OpenShift

Už desítky let si v IT rádi definujeme nějaké politiky, abychom si udrželi v systémech pořádek a bezpečnost. Jak si je budeme označovat, jak nastavovat jednotlivé parametry, jaké doporučené postupy volit pro zajištění bezpečnosti, vysoké dostupnosti nebo provozuschopnosti? Obvykle se to projevilo ve směrnicích, dokumentaci nebo školeních. Například - pokud...

9. 9. 2021

Téma:  Governance  Security  Kubernetes 

---

Nová generace integrace Azure PaaS do sítě zákazníka se roluje do prvních služeb

Před deseti lety PaaS běžela výhradně v “Internetu” a na mnoho použití to vůbec nevadilo. V posledních letech ale Azure nabídl dva způsoby těsnější integrace do privátní sítě zákazníka - vystavení PaaS přímo ve VNETu nebo promítnutí PaaS služby do zákaznického VNETu přes Private Link technologii. S některými službami nastupuje...

7. 9. 2021

Téma:  Networking  Security 

---

Kubernetes prakticky: privátní AKS clustery

Za nejdůležitější bezpečnostní nastavení z pohledu přístupu administrátorů do vašeho AKS clusteru považuji určitě integraci na Azure Active Directory a s tím spojené silné přihlašování včetně možnosti více-faktoru, podmíněných přístupů a návazný RBAC. O tom jindy. Nicméně omezení vašeho clusteru po stránce síťové jako další stupeň bezpečnosti mi dává smysl...

2. 2. 2021

Téma:  Kubernetes  Networking  Security 

---

Confidential Computing - zabezpečení dat při jejich používání, kdy ani root systému nemá šanci je rozlousknout

Všichni jsme jistě stokrát slyšeli o tom, že mám šifrovat “data in fly” a “data at rest”, tedy používat pouze bezpečné šifrované protokoly pro komunikaci a šifrovat disk, souborový systém nebo databázovou storage. Nicméně pokud chceme s daty něco dělat, například něco počítat, analyzovat nebo vyhledávat, potřebujeme, aby se nějaký...

27. 1. 2021

Téma:  Security  Compute 

---

Azure Defender (7): Ochrana serverové infrastruktury - řízení povolených aplikací

Je v pořádku, když váš doménový řadič těží Bitcoin, web server provozuje Metasploit či Nmap pro scanování a útočení a váš databázový server smaží Hydru ve snaze rozlousknout nějaká hesla slovníkovým útokem? Předpokládám, že asi ne. Azure Defender vám s funkcí Adaptive Application Controls dokáže poradit co na server patří...

21. 1. 2021

Téma:  Security 

---

Azure Defender (6): Ochrana serverové infrastruktury - sledování integrity systému

Je fajn, když všechno zlé je odhaleno jako signatura nějakého malware nebo detekováním chování v rámci Azure Defender, ale váš systém může být ohrožen něčím naprosto cíleným, neznámým nebo třeba akcemi právoplatného správce. Co s tím? Ručně dělat reverse engineering ponořeni v hexadecimálním editoru koukaje do assembly za současného sledování...

18. 1. 2021

Téma:  Security 

---

Azure Defender (5): Ochrana serverové infrastruktury - EDR

Dnešním dílem začneme témata v rámci Azure Defender zaměřená na virtuálky, tedy Linux a Windows serverové operační systémy ať už běží v Azure nebo je přes Azure Arc for Server napojíte odkudkoli. Pro ochranu Windows používá Azure Defender pod kapotou nástroj Microsoft Defender for Endpoints (dříve Defender ATP) a pro...

11. 1. 2021

Téma:  Security 

---

Azure Defender (4): Použití Azure Policy pro vynucení pravidel i vlastní bezpečnostní kontroly

Azure Policy jsou velmi důležitým nástrojem pro Policy as Code v Azure a jsou pod kapotou Azure Security Center, ale používají se samostatně pro implementaci provozních politik nebo jako součást Azure Blueprint či v rámci DevSecOps. Dnes si vyzkoušíme pár jednoduchých politik a následně z nich poskládáme vlastní pravidla kontrolovaná...

14. 12. 2020

Téma:  Security 

---

Azure Defender (3): Integrace bezpečnostních doporučení do vašich procesů a nástrojů

Minule jsme ponořili do bezpečnostního skóre, jak se dívat na doporučení a jak k tomu můžete přistupovat. Dnes si ukážeme, že Azure Portál není jediný způsob jak se výsledky analýzy zabývat. Jak automatizovaně reagovat, rozdávat úkoly, dělat si vlastní vizualizace nebo integrovat vaše nástroje? Nativní automatizace s Logic App Velmi...

8. 12. 2020

Téma:  Security 

---

Azure Defender (2): Jaké je vaše bezpečnostní score a co můžete udělat pro jeho zlepšení

Minule jsme si představili Azure Defender a konzoli Azure Security Center. V následujících třech dílech se zaměříme na správu a hodnocení vašeho prostředí co do bezpečnost, tedy na Cloud Security Posture Management. Dnes to bude bezpečnostní score, jak s ním pracovat, zakládat výjimky a hlavně jak ho doporučuji pojmout myšlenkově...

1. 12. 2020

Téma:  Security 

---

Azure Defender (1): Zabezpečte backendovou infrastrukturu v Azure, jiném cloudu či vlastním datovém centru

Bezpečnost je opravdu téma dost rozsáhlé, tak bych hned na začátek měl říct, že v této sérii se budu zaměřovat na schopnost řídit bezpečnostní nastavení včetně promítnutí do compliance a detekcí hrozeb s aktivní ochranou infrastrukturních i platformních služeb nejen v Azure, ale i v AWS, Google nebo on-premises. Nebudeme...

24. 11. 2020

Téma:  Security 

---

Jak funguje Managed Identity v Azure

Na tomto blogu už jsem popisoval, jak je managed identity výborný způsob přihlašování aplikace k službám jako je Blob Storage, Azure SQL, Azure Database for PostgreSQL a jiným službám nebo třeba Azure Key Vault (pro vyzvednutí certifikátů) nebo do Azure samotného (například k automatizaci pro vaše skripty, Azure CLI, Terraform,...

21. 5. 2020

Téma:  Security 

---

Privátní leč cenově dostupná WebApp díky Private Link pro App Service v Azure

Azure Applicaiton Services a především její slavná WebApp je jedna z nejstarších a nejpoužívanějších služeb Azure společně s Azure SQL. Původně začala jako platforma pro provoz .NET aplikací, ale už před pěti lety uměla Javu a další jazyky a v posledních letech přišla i podpora kontejnerů a Linux verze včetně...

11. 5. 2020

Téma:  Networking  Security  AppService 

---

Bezpečnost Azure: Jak nepoužívat Service Principal díky Managed Identity a zbavit se tak čekání na ticket u vašeho enterprise IT

Jste enterprise firma a využíváte Azure? Pak je velká šance, že si nemůžete samostatně vytvářet účty service principal a potřebujete intervenci vašeho IT … a ta dost možná trvá … v lepších případech dny, jindy měsíc. Proč to tak bývá? Proč mít separátní tenant je fajn nápad, ale vhodný spíš...

14. 4. 2020

Téma:  Security 

---

Azure DDoS Protection Standard: jak funguje a proč si pořídit

Azure má k dispozici DDoS ochranu s celkovou kapacitou přes 30 Tbps, což je minimálně 10x víc, než dosud nejsilnější zaznamenaný útok. Jak vás může chránit, jak funguje a proč si pořídit? Důležitým věcem typu jaký je rozdíl mezi volumetrickým, protokolovým a aplikačním útokem nebo co zahrnuje Azure DDoS Protection...

12. 2. 2020

Téma:  Networking  Security 

---

Kubernetes praticky: role Service Mesh

V poslední době je mnoho diskusí kolem konceptu Service Mesh a mnoho lidí se na něj dívá jako ná spásu světa. Něco na tom je, ale nic není zadarmo - roste složitost, latence a spotřeba zdrojů. Stojí to za to? Na to se dnes zkusím podívat. A jak si mám...

12. 12. 2019

Téma:  Kubernetes  Networking  Security  ServiceMesh 

---

Pohled na hybridní svět IT nově i s Azure Arc

Na listopadové konferenci Ignite Microsoft oznámil další strategický krok v oblasti hybridních řešení - Azure Arc. Jak vypadá nasazení cloudového modelu nad vaší vlastní infrastrukturou, hostingem či libovolným cloudem nebo Kubernetes clustery od kohokoli a kdekoli? A jak to doplňuje technologii Azure Stack nebo IoT Edge? Dnes se na to...

11. 11. 2019

Téma:  Monitoring  Security  Governance  IoT  AzureStack  Kubernetes  Arc 

---

Privátní napojení vaší vlastní služby v SaaS stylu s Azure Private Link Service

Před časem jsem popisoval a testoval službu Private Link, která vás může přímo z vašeho VNETu napojit do platformní služby v Azure. Zkoušel jsem Storage account a Azure SQL, ale chystá se i plejáda dalších služeb. Víte ale, že celá technologie není určena jen pro Azure PaaS, ale můžete ji...

6. 11. 2019

Téma:  Security  Networking 

---

Moderní autentizace: oprávnění pro procesy běžící v pozadí s AAD

V minulém díle jsme se pustili do autorizace aplikace, která přistupovala na Payroll API. Dnes budeme chtít vyřešit dva problémy. Co když potřebujeme, aby naše aplikace fungovala v pozadí i po té, co uživatel opustil stránku a v pozadí s Payroll API komunikovala jménem uživatele? Token po hodině vyprší a...

15. 10. 2019

Téma:  Security  AAD 

---

Moderní autentizace: delegovaná oprávnění s OAuth2 a AAD

Představme si, že budujeme aplikaci, ve které si uživatel může prohlédnout a změnit svoje údaje - číslo účtu pro posílání výplaty, svoje telefonního číslo apod. Například ten telefon bude uložen v AAD profilu a tak budeme chtít zavolat Microsoft Graph API. To se dá použít na spoustu věcí v rámci...

7. 10. 2019

Téma:  Security  AAD 

---

Kubernetes praticky: doporučená bezpečnostní nastavení a scan s kubesec.io

Kontejnery nejsou typicky izolované na úrovni hypervisoru (ačkoli se v tomto směru objevují třeba kata containers nebo hyper-v containers, které to dělají), takže izolace probíhá na úrovni kernelu. Vaše aplikace v kontejnerech tedy reálně běží v kernelu hostitele. Opatrnost je tedy na místě. Dnes využijeme jednoduchý scanner best practice kubesec.io...

1. 10. 2019

Téma:  Kubernetes  Security 

---

Moderní autentizace: ověřování zákazníků s OpenID Connect v AAD B2C

V minulém díle jsme použili OpenID Connect pro ověřování interních (nebo federovaných) uživatelů v AAD a dnes se zaměříme na koncové zákazníky. Ty typicky nechcete spravovat ve stejném tenantu, ale ve vyčleněném pro tyto účely. Přesně na to je Azure Active Directory B2C, která ale řeší dost dalších věcí, které...

24. 9. 2019

Téma:  Security  AAD 

---

Moderní autentizace: ověřování interního uživatele s OpenID Connect v AAD

Dnes se podíváme na scénář jednoduchého přihlašování uživatele a nebudeme vyžadovat autorizaci, tedy neřešíme přístup k nějakým dalším zdrojům a API, chceme jen čistě zjistit, kdo s námi vlastně mluví. K tomu využijeme OpenID Connect, standardizovanou nadstavbu nad OAuth2. V dnešním díle si vyzkoušíme pro firemní aplikaci s AAD a...

20. 9. 2019

Téma:  Security  AAD 

---

Privátní napojení PaaS služeb do VNETu s Azure Private Link

Existují platformní služby, které v single-tenant režimu napojíte rovnou do VNETu (tedy na privátní adresy) a můžete je pak využívat z IaaS infrastruktury nebo přes Azure VPN či Express Route. Tyto alternativy ale mohou mít trochu jinou funkčnost a mohou být dražší (což je logické, protože jsou single-tenantní a tím...

18. 9. 2019

Téma:  Security  Networking  Storage  SQL 

---

Moderní autentizace: od SELECT password FROM k Oauth2

V sérií článků na téma moderní autentizace budu objevovat detaily přihlašování a autorizace z pohledu protokolů. Projdeme si proč to vzniklo a k čemu je to dobré a pak se pustíme do jednotlivých scénářů a vyzkoušíme si je s Azure Active Directory. Nejste programátoři? Já také ne, nemusíte se děsit....

12. 9. 2019

Téma:  Security  AAD 

---

Automatické získávání IP range PaaS služeb v Azure přes API

Platformní služby Azure typicky běží na public endpointech a zejména při komunikaci z on-premises se vám může hodit znát rozsahy veřejných IP adres, na kterých běží. Důvody mohou být pro implementaci klasického pohledu na bezpečnost, ale také důvody praktické. Jsou služby, které mohou znamena masivní přenosy dat (třeba storage account)...

19. 8. 2019

Téma:  Networking  Security 

---

Kubernetes praticky: vystavování aplikací s Ingress a Azure App Gateway (WAF)

Na tomto blogu už jsem ukazoval vystavování aplikací přes objekt Service a s využitím typu LoadBalancer vám Kubernetes ve spolupráci s Azure Load Balancer zajistí vystrčení ven z clusteru na private nebo public IP adresu. Nicméně to má své nevýhody. Adres může být zbytečně moc, neřeší to L7 funkce jako...

12. 8. 2019

Téma:  Kubernetes  Networking  Security 

---

Kubernetes praticky: bezpečné řešení přístupu například do Key Vault přes AAD Pod Identity

Pokud chcete bezpečně řešit správu hesel, klíčů a certifikátů je vaší nejlepší volbou jejich uložení do Azure Key Vault a bezpečné vyzvedávání přímo aplikací. Místo použití Secret v Kubernetes se spolehnete na trezor, který je univerzální ať přistupujete odkudoli (Kubernetes, VM, WebApp, Functions, klient), je dokonale oddělen co do RBAC,...

6. 6. 2019

Téma:  Kubernetes  Security 

---

Kubernetes prakticky: řízení přístupu (RBAC) s integrací na Azure Active Directory

Máte Azure Kubernetes Service a všichni do ní přistupujete pod sdíleným admin účtem? Tento postup pro produkčnější nasazení není vhodný a velmi doporučuji nasadit řízení přístupu (RBAC). Kde ale uživatelské účty vzít a zajistit maximální bezpečnost přístupů třeba včetně vícefaktorového ověřování? Azure Kubernetes Service můžete elegantně napojit na identitní systém...

24. 4. 2019

Téma:  Kubernetes  Security  Governance 

---

Dynamické schvalování přístupů do Azure s Privileged Identity Management

Na svém notebooku občas potřebujete spustit proces, který je privilegovaný a nainstaluje nějaký software. To ale neznamená, že je dobrý nápad trvale pracovat pod účtem root nebo Administrator. Na privilegovaný účet eskalujete pouze v okamžiku, kdy je to vážně potřeba. Na to jsme všichni zvyklí, pojďme totéž dělat v Azure....

8. 4. 2019

Téma:  Governance  Security 

---

Modernizujte konektivitu vašich poboček s Azure Virtual WAN

Jak máte víc a víc aplikací v Azure z nichž řada z nich vyžaduje privátní konektivitu možná vám začne dávat smysl využít Azure i pro propojení poboček po celém světě. Tradiční řešení, L3 VPN MPLS služba operátora, se dá dobře využít s Express Route, kdy se z Azure stane vlastně...

2. 4. 2019

Téma:  Networking  Security 

---

Enterprise governance s Azure Blueprints pro všechny vaše subskripce

Azure nabízí výborné prostředky pro řízení vašeho cloudu z pohledu přístupů, politik a governance obecně. Tohle všechno můžete zabalit do blueprintu a řídit jeho aplikaci na celý váš enrollment - jednotlivé vaše země, dceřinky, organizační celky i samotné subskripce. Podívejme se dnes na Azure Blueprints a koncepty, které využívá jako...

31. 1. 2019

Téma:  Security  Governance 

---

Předávání tajností do App Service (WebApp) přes Azure Key Vault

Ve vaší WebApp můžete udržovat konfigurační parametry v záložce Application Settings. Tyto jsou bezpečně uloženy, nicméně jejich správu musíte provádět přes WebApp samotnou. Na ukládání tajností jako jsou hesla nebo connection stringy je k dispozici výborná služba Azure Key Vault. Od včerejška je možné ji použít i pro předávání parametrů...

29. 11. 2018

Téma:  AppService  Security 

---

Nemodifikovatelná storage v Azure pro zákonné držení vašich dokumentů

Jsou situace, kdy potřebujete do storage nahrát nějaké dokumenty a zajistit, že je po určité rozhodné období není možné smazat nebo modifikovat a to ani s největšími administrátorskými právy. Možná jde o uživatelem nahrané dokumenty nebo logy z vašich systémů, které musíte držet například po dobu dvou let pro případ...

25. 10. 2018

Téma:  Storage  Security 

---

Nový Azure Firewall: na co se hodí a v čem je jiný, než NSG nebo App Gateway?

Před pár dny bylo uvedeno preview produktu Azure Firewall. Kdy mám použít Network Security Group, kdy Application Gateway, kdy Azure Firewall a kdy prvky třetích stran? Pojďme si na to odpovědět a Azure Firewall vyzkoušet. Řízení síťového provozu v Azure Azure nabízí dva nativní prostředky, které jsou k dispozici zdarma....

23. 7. 2018

Téma:  Security  Networking 

---

Přihlašujte se do Linux VM v Azure s AAD a třeba i vícefaktorově

Při vytváření VM v Azure specifikujete přihlašovací údaje administrátora. Tímto účtem se připojíte a řešíte to dál. Možná přidáte účty pro vaše kolegy, ale pokud máte takových VM sto a jeden z účtů je kompromitovaný (nebo ten člověk u vás už nepracuje), je dost práce to změnit. Linux s tím...

21. 5. 2018

Téma:  Compute  Security 

---

Jak aktivovat bezpečnou vzdálenou správu Windows s WinRM a Azure Key Vault

Klasické nasazení Windows VM v Azure funguje tak, že aktivujete RDP, připojíte se do VM a uděláte co potřebujete (třeba zapnete WinRM, začleníte server do domény apod.). Půlroční releasy Windows 2016 už ale nepřichází s kompletním GUI, takže se přes RDP stejně napojíte rovnou na PowerShell a odtamtud pokračujete dál....

15. 5. 2018

Téma:  Security  Compute 

---

Chcete maximální bezpečnost v Azure i jinde? Přemýšlejte o privilegované pracovní stanici.

Pokud je bezpečnost správy systémů (OS, DB, ...) pro vás to nejdůležitější, zvažte použití privilegované pracovní stanice. Možná to není pro administrátory zrovna pohodlné a flexibilní, ale je to skvělý způsob dramatického zvýšení bezpečnosti. Dnes si řekneme proč a jak to funguje a v dalším díle si vyzkoušíme některé příklady,...

7. 5. 2018

Téma:  Security 

---

Jak oddělit správu hesel od nasazení Azure infrastruktury a aplikací s Azure Key Vault

Představte si, že Azure pro vás spravuje provozák, který má mít schopnost prostředí zakládat, ale neměl by znát heslo do databáze. MySQL služba nepoužívá Azure Active Directory pro ověřování, takže při jejím vytváření potřebujeme nějaké heslo určit. Stejně tak při konfiguraci aplikace potřebujeme skočit do VM a do konfiguračního souboru...

30. 4. 2018

Téma:  Security 

---

Azure Security + Management - hybridní monitoring infra, aplikací i bezpečnosti

Včera jsem měl možnost mluvit na webináři, který představil Azure nabídku pro oblast hybridní správy, tedy řešení nejen pro Azure, ale pro systémy v on-premises, hostingu či jiném cloudu. Nejprve vás v 15 minutách seznámím s celkovým pohledem na správu a zmíníme tři nejdůležitější oblasti, které následně uvidíte - monitoring...

27. 4. 2018

Téma:  Monitoring  Security 

---

Zabraňte spouštění neschválených procesů v produkci s Azure Security Center

Dnešní útoky na vaše prostředí už nejsou tolik o hackování firewallů, ale spíše o infiltraci do infrastruktury, kde vstupním bodem bývá zdařilý útok na RDP/SSH či průnik přes phishing na klientovi. Aby se ale útočník dostal k něčemu zajímavému musí se propracovat k serverům. Na nich si obvykle potřebuje spustit...

25. 4. 2018

Téma:  Security 

---

Jak navrhnout FW pravidla v Azure s NSG a ASG

Pokud z nějakého důvodu nemůžete použít platformní službu (PaaS), možná stojíte před úkolem jak nastavit firewall pravidla pro aplikaci ve VM, která má dvojici webových serverů přístupných z venku a dvě databázové VM. Jak to udělat? Mikrosegmentace per VM? Nebo pravidla na subnet? A co aplikační objekty s ASG? Podívejme...

20. 4. 2018

Téma:  Security  Networking 

---

Governance v Azure: jak se kupuje, organizuje a dělají subskripce

Jste enterprise firma a myslíte to s cloudem vážně? Pak určitě budete chtít dobře řídit governance - kdo co smí, co komu patří, jaké politiky se mají vynutit, jak si rozdělit práci, jak řídit náklady. V tomto seriálu se na to zaměříme. Pokud Azure zkoušíte a platíte kreditkou, máte asi...

19. 2. 2018

Téma:  Governance  Security 

---

Governance v Azure: jmenná konvence a tagování

Jste enterprise firma a myslíte to s cloudem vážně? Pak určitě budete chtít dobře řídit governance - kdo co smí, co komu patří, jaké politiky se mají vynutit, jak si rozdělit práci, jak řídit náklady. V tomto seriálu se na to zaměříme. Dnes se podíváme na téma, které sice není...

7. 2. 2018

Téma:  Governance  Security 

---

Governance v Azure: řízení přístupu a provozní politiky

Jste enterprise firma a myslíte to s cloudem vážně? Pak určitě budete chtít dobře řídit governance - kdo co smí, co komu patří, jaké politiky se mají vynutit, jak si rozdělit práci, jak řídit náklady. V tomto seriálu se na to zaměříme. Dnes se podíváme na jemné řízení přístupu k...

29. 1. 2018

Téma:  Security  Governance 

---

Ochraňte svojí aplikaci v Azure s WAF a Security Center

Máte v infrastrukturní službě v Azure nasazenou aplikaci ve VM a chcete ji chránit před útoky na úrovni protokolu a aplikace jako SQL injection a podobně? Nebo chcete využít veřejného endpointu v cloudu pro ochranu vaší on premise aplikace? Podívejme se, jak Azure Security Center mimo jiné umí automatizovaně nasadit...

11. 12. 2017

Téma:  Security 

---

Přístup k PaaS SQL nebo Storage z vnitřní sítě Azure VNet

Platformní služby mají velmi příjemné vlastnosti z hlediska funkcí, ale i škály a cenové dostupnosti. To ale typicky znamená, že pro využití výnosů z rozsahu jsou některé jejich komponenty multi-tenantní - například jejich interní balancer apod. To znemožňuje nebo znesnadňuje (prodražuje) jejich instalaci ve VNET, privátní síti. Většinou to nevadí....

2. 10. 2017

Téma:  Security  Networking 

---

Just-in-time access bezpečnost s Azure Security Center

Většina administrátorů chce mít možnost připojit se do VM v případě, že se děje něco špatného a ručně zasáhnout. Proto vyžaduje síťově otevřený přístup na SSH, RDP, VNC nebo WinRM port. Tomu velmi rozumím, ale proč nechávat port otevřený i při běžném provozu zbytečně a vystavovat se riziku pokusů o...

27. 7. 2017

Téma:  Security 

---

Azure Security Center: Update management aneb patchujte Windows i Linux

Azure Security Center (produkt, který postupně konsoliduje vlastnosti security v Azure a bezpečnostní analýzu OMS), nástroj pro hybridní správu vašeho datového centra i cloudu, nabízí schopnost přehledu chybějících aktulizací operačních systému Windows a Linux. Ujistěte se, že jsou vaše servery v dobrém stavu a můžete ASC využít i k inicializaci...

25. 6. 2017

Téma:  Monitoring  Security 

---

AlwaysEncrypted jako end-to-end šifrování s Azure SQL Database

Potřebujete všechna data v databázi šifrovaná a to včetně jejich záloh? Na to je ideální použít Transparent Data Encryption (o tom v jiném článku). Je to jednoduché a v Azure SQL doslova na kliknutí. Někdy ale potřebujete šifrovat tak, že ani administrátor databáze data nepřečte. Možná to ani nemusí být...

24. 4. 2017

Téma:  SQL  Security 

---

Schováváme citlivá data v Azure SQL Database s Data Masking

Azure SQL má zajímavou funkci Data Masking, která "za živa zahvězdičkuje" citlivá data. Přemýšlel jsem, k čemu je to dobré. Pokud řešíme přístup uživatelů k datům a některý z nich jednoduše číslo kreditní karty nebo rodné číslo vidět nemá, použil bych asi jinou metodu. například column security (o tom jindy),...

10. 4. 2017

Téma:  SQL  Security 

---

Více-faktorové ověřování v on-premise díky Azure MFA

V Azure je perfektní prostředí pro moderní řízení a ověřování identit - Azure AD postavená na OAuth 2.0 pro aplikace a podpora velmi bezpečného více-faktorového ověřování (kromě jména a hesla i telefonát, SMS, aplikace v mobilu apod.). Ale co on-premise svět? Váš Exchange s OWA, remote desktop, VPNky, intranet a...

13. 3. 2017

Téma:  Security  AAD 

---

Přístupy uživatelů k tabulkám a sloupcům v Azure SQL Database

Data uložená v Azure SQL databázi nemusí být určena každému - určitě se nám budou hodit účty, které nesmí zapisovat a mohou jen číst. A možná v některé z tabulek bude konkrétní sloupeček, který nechceme, aby viděl každý. Dnes si pohrajeme s účty v Azure SQL. Klasický SQL user vs....

9. 3. 2017

Téma:  SQL  Security 

---