Azure Customer Lockbox : Tout ce que vous devez savoir !

Introduction

Azure Customer Lockbox est un service intégré dans le Portail Azure qui vous permet de vérifier la confidentialité et l’intégrité de vos données en contrôlant (auditer et approuver) les accès demandés par les équipes d’ingénieurs de support Azure de Microsoft.

Ce service Azure a vu le jour car plusieurs clients disposant d’une politique de sécurité sérieuse, ont fait part de leur exigence à Microsoft quant à la confidentialité et accès à leurs données hébergées dans les Datacenters Azure de Microsoft.

Constats

Questions très logiques posées par la quasi totalité de mes clients aujourd’hui :

• Comment puis-je m’assurer de la confidentialité et l’intégrité de mes données hébergées/stockées sur Azure ?
• Comment puis-je vérifier que Microsoft (plus précisément les équipes d’administrateurs et ingénieurs Microsoft) n’accèdent pas à mes données hébergées/stockées sur Azure ?

La première réponse est bien évidemment : L’ENCRYPTION  >> Chiffrement des données de bout-en-bout

Toutes les données hébergées dans le Cloud, que ce soit sur Azure ou d’autre CP (Cloud Platform) doivent être chiffrées, cela concerne :

• Les données in-transit
• Les données in-use
• Les données at-rest

Le chiffrement de vos données dans le Cloud garantie la confidentialité et intégrité de vos données : seules les personnes détenant la clé de chiffrement peuvent déchiffrer et accéder à vos donnés.

La deuxième partie de la réponse est aujourd’hui la disponibilité du service Customer Lockbox dans le Portail Azure.

Note : ce service est également disponible Pour Office 365

 

Services pris en charge par Azure Customer Lockbox

Le Customer Lockbox concerne uniquement l’accès à vos VMs Azure.

Si l’équipe d’ingénieurs Microsoft en charge de la partie IaaS VM Azure a besoin d’accéder à vos VMs (pour des besoins de Troubleshooting, Maintenance…etc), vous recevrez donc une demande d’accès depuis ce Service, et vous aurez la possibilité d’accepter (approuver) ou pas cette demande.

 

Azure Customer Lockbox : Implémentation

Rien à faire de votre côté :).

Le service est déjà activé et available for use.

 

Azure Customer Lockbox : Tour d’Horizon

Faisons un tour d’horizon du service Customer Lockbox Azure.

• Connectez-vous sur le Portail Azure
• Saisissez « Customer Lockbox » depuis la barre de recherche
• Localisez et cliquez sur le résultat retourné comme montré dans la capture d’écran suivante :

 

Le Blade « Overview » du Customer Lockbox est présenté comme suit :

 

Les deux options suivantes sont proposées via le Customer Lockbox :

• Review Requests (Redirect vers le Blade « Pending Requests ») : vous permet de visualiser toutes les demandes d’accès en cours envoyées par Microsoft et en attente d’une approbation de votre part. A partir de ce Blade, vous avez donc la possibilité de lister et approuver (ou pas) ces demandes d’accès. Dans l’exemple suivant, aucune demande en cours n’est en attente d’approbation.

Dans l’exemple suivant, deux demandes d’accès sont envoyées par l’équipe « Microsoft Support Enginner Team » et sont en attente d’approbation

 

• Explore Logs (Redirect vers le Blade « Activity Logs ») : répertorie toutes les activités relatives aux approbations. Tous les journaux collectés sont listés depuis ce Blade. A consulter pour suivre qui et quand des demandes d’accès ont été approuvées (ou refusées) :

Je n’ai jamais reçu de demande d’accès à mes VMs Azure (Tenant Perso Azure) de la part de MS, donc aucun Log n’est disponible depuis « Activity Logs ».

Voilà 🙂

#HK

[Azure CLI 2.0] Bug sur la commande « az interactive » : The command failed with an unexpected error

 

Az CLI Guys, hello again,

J’ai récemment détecté un problème sur la commande Azure CLI (2.0) az interactive

Si vous exécutez az interactive, que le Command Prompt vous retourne le message d’erreur suivant, sachez qu’il s’agit d’un bug lié à l’interface Azure CLI ;

#hicham@mylaptop : ~$ az interactive

The command failed with an unexpected error. Here is the traceback:

cannot import name ‘DEFAULTS_SECTION’

Traceback (most recent call last):

  File « /opt/az/lib/python3.6/site-packages/knack/cli.py », line 206, in invoke

    cmd_result = self.invocation.execute(args)

  File « /opt/az/lib/python3.6/site-packages/azure/cli/core/commands/init.py », line 560, in execute

    raise ex

  File « /opt/az/lib/python3.6/site-packages/azure/cli/core/commands/init.py », line 618, in _run_jobs_serially

 

HowToFix

La solution consiste à réaliser un update du mode Interactive Azure CLI, et ce en saisissant la commande suivante :

az interactive –update

A bientôt

#HK o___O

[New eBook] Microsoft LAPS – Déploiement et Configuration en Entreprise

A propos de cet eBook

Cet eBook est un guide pas à pas qui vous présente en détail l’outil Microsoft LAPS : vous apprenez à travers ce livre comment concevoir et déployer cette solution en Entreprise (via GPO, SCCM…Etc) , vous découvrirez également le fonctionnement de LAPS et les modules qui le composent. De plus Plusieurs « Trucs & Astuces » ainsi que des retours d’expérience de l’auteur sont partagés sur cet eBook.

Le déploiement de LAPS sur une infrastructure Windows Nano Server est également détaillé dans cet eBook.

Si vous souhaitez renforcer la sécurité de votre S.I, rencontrez des soucis de gestion liées aux mots de passe des comptes « Administrateurs » locaux de vos machines, ou souhaitez simplement découvrir l’outil LAPS, cet eBook est fait pour vous J.

Publics concernés par cet eBook

Ce guide pas à pas peut intéresser plusieurs populations IT :

• RSSI /Adjoint RSSI
• Architecte Infrastructure /Systèmes Microsoft
• Consultant Infrastructure /Systèmes Microsoft
• Chef de Projet Sécurité IT
• Ingénieur Systèmes Microsoft
• Ingénieur Sécurité IT
• Administrateur Systèmes Microsoft
• Administrateur Sécurité IT
• Toute personne désirant apprendre et maîtriser la solution Microsoft LAPS.

 

L’eBook est disponible sur BecomeITexpert.com, cliquez sur l’image ci-après pour en savoir plus :

 

Très bon eBook de Benoit NUGUES

Bonne lecture à tous :).

A bientôt,

#HK

[Azure Free Training] Lesson4 : Tout ce que vous devez savoir sur « Azure Policy »

 

Liste des premiers modules de la série « Gouvernance Azure »

Les trois premiers modules de la série « Gouvernance Azure » sont disponibles depuis les URLs suivantes :

[Azure Free Training] Lesson1 : Définissez votre Convention de Nommage Azure

[Azure Free Training] Lesson2 : Protégez vos ressources Azure, Appliquez des « Locks Azure »

[Azure Free Training] Lesson3 : Tout ce que vous devez savoir sur Azure Tags

 

Introduction

Si vous devez migrer des Workloads depuis votre Corporate Network (aka Onprem) vers Azure (Lift & Shift Mode) ou construire de nouvelles architectures Azure (« Cloud Native » Mode), notez que la Step1 de votre projet va consiste à définir un Modèle de Gouvernance Global pour Azure.

Comme illustré dans le schéma ci-dessus, le modèle de Gouvernance Azure (Azure Scaffold) est composé de :

• Convention de nommage (définition de vos naming standards pour vos ressources Azure)
• Modèle de délégation (RBAC)
• Policy (Stratégies Azure)
• Tags (Azure Resources Tags)
• Azure Locks
• Subscrption Design (Nombre d’abonnements à créer..etc)
• …Etc

 

Durant cette « Lesson 4 », nous allons découvrir un composant critique du Scaffold Azure qu’est « Azure Policy » ou « Stratégie Azure » en Français.

Azure Poliy est service de sécurité (et Gouvernance) Azure très puissant qui vous permet de définir et appliquer une politique de sécurité « Dès la concepton » (ou Security by Design en Anglais).

Azure Policy peut être utilisé pour renforcer la sécurité de votre environnement Azure en mettant en place des règles de sécurité telles que :

• Pas de déploiement de ressources Azure hors « France »
• Pas d’utilisation d’adresse IP Publique sur vos VMs
• Forcer l’utilisation de vos images Master Windows pour Azure VM
• Forcer le chiffrement des comptes de stockage Azure
• Auditer si des comptes propriétaires n’ont pas de MFA « activé »
• …

 

Avec Azure Policy, vos ressources Azure restent « Compliant » avec votre politique de sécurité existante, vous maitrisez aussi votre gouvernance global Azure en forçant vos règles/exigences de sécurité dès le déploiement de tout service Cloud Azure.

Consultez le document SlideShare ci-dessous pour en savoir plus, Enjoy :).

 

Step-by-step guide sur Azure Policy : Introduction & HowTo

Le document est disponible sur SlideShare, à cet URL.

Vous pouvez aussi le visualiser directement depuis ce post, voir Slide ci-dessous :

[Azure Governance] Lesson 4 : Azure Policy from ☁ Hicham KADIRI ☁

Ce Slide a été rédigé en Anglais (pour atteindre un public plus large) mais sera bientôt disponible en Français sur la même plateforme.

 

Next Lesson ?

Je travaille actuellement sur les autres « Lessons/Modules » du modèle de Gouvernance Global Azure, à savoir :

• Azure RBAC
• Azure Resources Groups
• Azure Automation

 

N’hésitez pas à vous abonner à mon Blog (ou à mon profil SlideShare) pour rester informé de toute nouvelle publication.

Sinon, vos Comments/Feedbacks sont bien évidemment les bienvenus :).

#HK

Introduction à Microsoft LAPS

Introduction

Le produit LAPS (Local Administrator Password Solution) est un outil gratuit édité par Microsoft permettant de gérer automatiquement le mot de passe du compte administrateur local des systèmes d’exploitation Windows.

La solution se base par défaut sur le SID du compte administrateur local (S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-500).

L’utilisation du SID plutôt que le « SamAccountName » du compte BUILTING\administrateur (administrateur local de la machine) supprime l’adhérence à la langue du système installé, il est donc possible de déployer sur des environnements en français dont le compte se nomme « Administrateur » que des environnements en anglais où ce même compte se nomme « Administrator ».

La solution fonctionne aussi si vous avez renommé le compte Administrateur via GPO avec l’option :

‘Configuration ordinateur‘>’Paramètres Windows’> ‘Paramètres de sécurité’ > ‘Stratégies locales‘ > ‘Options de sécurité‘ > ‘Comptes : renommer le compte Administrateur‘ :

Note : vous pouvez trouver la liste des SID remarquables dans les KB Microsoft ci-dessous :

https://support.microsoft.com/fr-fr/help/243330/well-known-security-identifiers-in-windows-operating-systems

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/cc978401(v=technet.10)

 

Le mot de passe est généré de manière aléatoire et automatique avec une politique de complexité définie à l’avance et configurable. Ce même mot de passe est ensuite stocké au sein d’Active Directory dans un attribut du compte ordinateur « ms-MCS-AdmPwd ». Le mot de passe est donc unique à chaque machine.

Avant l’arrivée du produit LAPS, il était possible de configurer le mot de passe du compte Administrateur via GPO, plus précisément les GPP. Cette solution a été retirée par Microsoft car non sécure. De plus le mot de passe était global sur l’ensemble des ordinateurs recevant la GPO et en cas de changement il n’était pas possible de s’assurer que l’ensemble des machines aient été mise à jour. Il existe d’autre méthode via script PowerShell par exemple.

Avec LAPS lorsqu’il arrive qu’une machine soit corrompu ou que le mot de passe administrateur soit communiqué à un utilisateur, l’ensemble du parc machine n’est pas remis en cause.

Vous trouverez dans le lien ci-dessous le détail sur les failles de sécurité des GPO :

https://support.microsoft.com/en-us/help/2962486/ms14-025-vulnerability-in-group-policy-preferences-could-allow-elevati

La solution LAPS apporte les avantages suivants :

• Sécurité :
  • Mot de passe généré aléatoirement.
  • Mot de passe unique.
  • Mot de passe changé régulièrement.
  • Possibilité d’ajuster la complexité du mot de passe
  • Possibilité de forcer le changement de mot de passe.
  • Mot de passe stocké dans AD et protégé par des ACL.
  • Echange entre client et AD chiffrés par Kerberos.
• Management :
  • Configuration via GPO.
  • Module PowerShell pour l’installation, la configuration et gestion.
  • Disponibilité d’un client Lourd Graphique (GUI).

 

Lien de téléchargement

Microsoft LAPS est disponible en téléchargement gratuit depuis l’URL suivante :

https://www.microsoft.com/en-us/download/details.aspx?id=46899

 

Ceci est un extrait de l’eBook « Microsoft LAPS – Déploiement et Configuration en Entreprise« .

Pour en savoir plus, cliquez sur l’image suivante :

Windows Terminal : La nouvelle « Command Line App » pour Windows

Microsoft a récemment dévoilé sa nouvelle Interface en ligne de commande nommée « Windows Terminal« .

Windows Terminal est la nouvelle Command Line Application pour Windows, elle intégrera tous les outils CLI tels que l’Invite de Commande (CMD.exe), Windows PowerShell ou encore le Sous-Système Windows pour Linux (WSL : Windows Subsystem for Linux).

Le but étant de proposer aux Développeurs/Codeurs une interface centrale depuis laquelle pourront faire appel à n’importe quel Command Line Tool.

Microsoft a souligné l’introduction de plusieurs fonctionnalités à Windows Terminal, notamment :

• Possibilité d’ouvrir plusieurs onglets depuis la même instance Windows Terminal
• Personnalisation de l’interface : plusieurs thèmes seront proposés
• Création de plusieurs Profils pour chaque Application
• … Il y’aura sûrement d’autres options/fonctionnalités, stay connected :).

Windows Terminal ne sera pas proposé tout de suite, son déploiement va se faire progressivement. Le géant américain prévoit une publication dans le cadre du programme Windows Insider le mois prochain, mais pour l’instant, aucun calendrier de publication pour la version finale n’est proposé !

#HK