Archives de la catégorie ‘Microsoft Azure’

Hi Azure Guys,

Microsoft a récemment publié un guide complet détaillant toutes les bonnes pratiques liées à la Sécurité Azure, cela comprend :

 

Je vous invite à consulter les liens ci-dessus et prendre connaissance de toutes les Security considerations & options lors de la phase « Design » de votre projet Cloud Azure.

Source : https://docs.microsoft.com/en-us/azure/security/security-best-practices-and-patterns

Publicités

Aujourd’hui, je vais vous parler d’u outil qui va vous faciliter la vie quand il s’agit d’auditer, et documenter from end-to-end un environnement Azure : Azure Dockit.

Azure Dockit a été conçu et développé par la société (Canadienne) UMAknow inc. Il est commercialisé sous forme de SaaS App (Software-as-a-Service Application) et est disponible depuis le Marketplace Azure.

Il vous permet de générer de manière « Full automated » une documentation complète sur votre environnement Azure.

C’est Must-Have Tool pour tout auditeur Cloud Azure désirant cartographier les environnements Azure de ses clients, comprenant tous les services Cloud implémentés ainsi que les « Links & Dependencies » entre eux.

Une fois exécuté, Azure Dockit se connecte à votre Tenant Azure, collecte, analyse et documente de manière automatique toutes les données liées aux services exécutés.

Azure Dockit génére deux output files :

Documentation complète de votre environnement Azure

Diagram Visio sous forme de Big Picture illustrant tous les services mis en place et leur dépendances.

 

Azure Dockit est un outil payant, disponible en quatre Edition, à savoir :

Je vous invite à consulter cette page pour en savoir plus sur le niveau de Pricing/Edition d’Azure Dockit.

L’éditeur propose une version Trial et je vous invite à en profiter pour découvrir la puissante de cet Azure auditing tool.

Comment ça marche ?

C’est simple comme bonjour :).

Rendez-vous à la page Marketplace Azure « Dockit », cliquez sur « FREE TRIAL » et renseignez un compte Azure disposant les droits nécessaires pour audit et collecter les informations depuis votre abonnement Azure.

Sélectionnez ensuite l’abonnement (Subscription) à auditer et cliquez sur « Gontinue »

Faites le tour de la plateforme Azure Dockit, sélectionnez les options qui vous intéressent, et cliquez ensuite sur « Generate Trial Documentation » :

Just Click & Enjoy, et laisser Azure Dockit s’occuper du reste 🙂

Livrables Azure Dockit ?

Une fois l’audit Azure Dockit est terminée, un mail vous est envoyé automatiquement avec les deux livrables suivants :

  • Documentation complète au format Word
  • Une Big Picture de tout l’environnement audit au format Visio

Ci-après un extrait du Digram Visio de mon environnement (LAB) généré par Azure Dockit :

Notez qu’Azure Dockit vous fournit également des documents Templates (Samples Documents) que vous pouvez utiliser pour personnaliser le rapport d’audit final avant présentation à votre client/direction.

Echo « Hi Azure Guys »,

Great News !

Microsoft a annoncé Mardi dernier (27 Février) l’intégration d’Azure Backup avec Azure Files (Service Cloud offrant des Partage de fichiers « Fully-Managed » et accessibles via SMB) en « Public Preview ».

Vous pouvez désormais inclure les Partages Azure Files dans votre stratégie Azure Backup pour les sauvegarder de manière automatique, et pouvoir restaurer vos données (Files Share) en cas de problème.

Comment ça marche ?

C’est assez simple !

Créez un nouveau Coffre Recovery Services (Recovery Services Vault) ou utilisez un existant, cliquez ensuite sur « Sauvegardes« , volet disponible depuis le volet Gauche du Blade « Coffres Recovery Services », enfin sélectionnez « Partage de fichiers Azure » comme valeur du paramètre « Que souhaitez-vous sauvegarder » ?

 

Dans l’exemple suivant, mon compte de stockage Azure hébergeant mon files share nommé « hk-demo-fileshare1 » est sélectionné :

Enfin, créez une stratégie de sauvegarde pour vos partages de fichiers Azure, et cliquez sur « OK » pour terminer :

Useful information

Je vous invite à consulter ce post pour en savoir plus.

A bientôt

#HK

 

Suite à la réalisation de plusieurs audits Azure chez différents clients grand comptes (Banques, Assurances, …etc), j’ai pu constaté que la plupart de leurs DC (Domain Controllers AD) hébergés dans le Cloud Azure (sous forme de VM Azure : mode Infra-as-aService), n’ont pas été Setupés, configurés et protégés correctement.

Plusieurs « Best Practices » relatives à l’exécution des Domain Controllers sur Azure (VM) sont souvent « oubliés » et rarement pris en considération lors de la phase « Build/Implementation ».

Si vous avez décidé d’étendre votre infrastructure AD vers Azure, je vous invite à prendre connaissance des items détaillés ci-dessous avant de vous lancer dans la création/build de VMs DCs.

Note : Le terme « Étendre » ici fait référence à un nouveau site distant (Site Active Directory) qui sera simplement le VNET/Subnet Azure et non pas la synchronisation d’annuaires : AD to AAD (Azure AD).

 

Liste des « Best Practices » que vous devez connaître avant de déployer vos DCs sur Azure (VM)
  • #1 : Tout d’abord, bien lire le guide « Guidelines for Deploying Windows Server Active Directory on Azure Virtual Machines » proposé par MS. Ce document vous détaille et explique bien la différence entre le déploiement d’infrastructure AD OnPrem (Infra AD traditionnelle) et le déploiement des Contrôleurs de domaine sur Azure (sur VM, connectées à des VNET/Réseaux Virtuels Azure). Je vous invite à prendre le temps de lire et comprendre tous les items détaillés dans cet article.
  • #2 : Déployez au moins deux Contrôleurs de domaine AD (2 VMs Azure)
  • #3 : Créez un Groupe à Haute Disponibilité (Availability Set) et placez-y vos Contrôleurs de domaine (au moins 2 DCs) : consulter cet article pour en savoir plus.
  • #4 : Déployez des Contrôleurs de domaine en mode « Core » plutôt qu’en mode GUI (Graphical User Interface)
    • HK Recommendation : pensez à déployer des DCs en mode Core avec un full remote management (via RSAT depuis un Bastion Environnement). Si vous déployez encore des DC sous Windows Server 2012 ou 2012 R2, vous pouvez déployer des DCs en mode MSI (Core + Minimal Server Interface > All GUI Tools)
      • Note : je vous invite à consulter cet article pour en savoir plus sur les différents modes : GUI | MSI | Core
  • #5 : Déployez des RODC (Read-Only Domain Controller) plutôt que des WDC (Writable Domain Controller)
    • Note importante : avant de déployer des RODC, vérifiez que vous Applications (à intégrer dans l’AD) supportent bien ce type de DC. Si vos Apps ont besoin d’écrire dans la base AD, déployez plutôt des WDC. Je vous invite à consulter cet article si vous avez besoin de tester la comptabilité de vos applications avec le RODC.
  • #6 : Ensuite, (TRES, TRES IMPORTANT), configurez des @IP Statiques sur vos DCs, cela doit se faire via le Portail Azure, PowerShell ou Azure CLI (depuis les Propriétés de la NIC de la VM DC) et non pas via les propriétés TCP/IP v4 de la Guest NIC :
    • Tips : vous pouvez configurer l’adresse IP (Statique) sur vos DCs via :
      • Le Portail Azure : consulter cet article pour en savoir plus.
      • Windows PowerShell [Module PS Azure] : consulter cet article pour en savoir plus.
      • Azure CLI [commande az vm]: consulter cet article pour en savoir plus.
  • #7 : Créer/Utiliser un Compte de Stockage Azure dédié pour stocker les vDisks (VHD) des Domain Controllers
  • #8 : En plus du vDisk OS créé/attaché à la VM automatiquement lors de sa création/provisioning, il est important de créer/attacher un nouveau vDisk à la VM DC (Data Disk) pour y stocker/placer la base de données AD, Fichiers Logs,SYSVOL 
  • #9 NE JAMAIS configurer de « Host Cache Prerence », lors de l’ajout du nouveau vDisk DATA (Disque de données pour AD Database, Logs & SySVOL), choisissez « None » comme valeur.
  • #10 : Utiliser les fonctionnalités RBAC (Role-Based Access Control /Contrôle d’accès en fonction du rôle) pour limiter/contrôler QUI doit ACCEDER/GERER le compte de Stockage and les clés d’accès
  • #11 : Activer le chiffrement de disque Azure (Azure Disk Encryption) avec une clé de chiffrement (KEK : Key Encryption key) pour les disques systèmes (OS vDisk) mais aussi les disques de données (Data vDisk). Azure Key Vault sera utilisé pour stocker les clés, il doit être déployé/hébergé dans la même Région & Abonnement Azure
  • #12 : Même chose pour Le coffre Key Vault, pensez à définir/implémenter une stratégie RBAC pour limiter l’accès au Key Vault stockant vos clés.
  • #13 : A l’aide d’un NSG (Network Security Group), créez et configurer des règles pour :
    • Autoriser que le traffic « Entrant » requis (Ports requis) pour les Domain Controllers
    • Refuser tout autre traffic
  • #14 : Implémentez des règles AppLocker pour autoriser que les .EXE, scripts… requis/utilisés par les DCs
  • #15 : NE JAMAIS créer/définir une @IP public pour les VMs faisant office de Domain Controllers.
  • #16 : Et bien évidemment, ne jamais activer le RDP (Remote Desktop Protocol) sur les DCs, pour réduire la surface d’attaque, et puis, on est d’accord, ce sont des DCs et non pas des serveurs RDS ou Citrix XA :).
  • #17 : Déployer et configurer l’agent Antimalware (en suivant votre standard OnPrem)
  • #18 : Déployer et configurer l’agent de monitoring (en suivant votre standard OnPrem)
  • #19 : Si votre architecture réseau le permet, implémentez une IPSec Policy pour sécuriser les communications entre vos DCs OnPrem et ceux sur Azure.
  • #20 : Et enfin, veillez à bien documenter toutes les options/fonctionnalités de sécurité implémentées, ainsi que toute modification apportée, cela vous permettra d’identifier les effets de bord/impacts post-implémentation d’une ou plusieurs Security Features spécifiques. e.g : mauvaise implémentation d’IPSec peut avoir un impact sur toute la communication inter-site (deny any<>any by default).

A bientôt, Keep in touch :).

#HK | Another IT Guy

Hello Azure Guys,

Greeeet News !!!!

L’équipe Azure Backup a annoncé aujourd’hui l’intégration d’Azure Backup dans l’assistant de création de Machine Virtuelle (VM) Azure.

Vous pouvez donc configurer la sauvegarde (Backup) de votre VM au moment de sa création, cela permet une protection de votre infrastructure Azure IaaS dès son déploiement.

HowTO : Configurer Azure Backup lors de la création d’une VM

Lors de la création d’une nouvelle VM Azure, plus précisément à l’étape « 3 – Paramètres » de l’assistant, vous êtes invité à configurer (Activer ou Désactiver) la sauvegarde de celle-ci. Comme illustré dans l’image ci-dessous, il suffit de sélectionner « Activé » pour configurer le Backup de la VM dès sa création :

Vous pouvez utiliser un Coffre Recovery Services (Backup Vault) existant ou en créer un nouveau.

Idem pour le groupe de ressource qui hébergera le Coffre RS (Choisir un existant ou créer un nouveau groupe de Ressource dédié).

Enfin, vous devez définir (Créer) une nouvelle Stratégie de Sauvegarde (Backup Policy) avec les options de rétention qui correspondent à votre besoin :

Liens utiles 

En savoir plus sur Azure Backup

Documentation sur Azure Backup 

Microsoft vous propose un « Event » autour du Cloud Azure, ce 23 Janvier à Paris.

Vous assisterez à plusieurs Workshop, DEMOs et présentations animées par Scott Guthrie, VP Exécutif Cloud & Enterprise.

Scott Guthrie partagera en Live les services Cloud Microsoft, les workloads avancés, et toutes les fonctionnalités qui font la différence dans le quotidien d’un développeur.

Inscrivez-vous à cet Event ici.

A bientôt :).