Articles Tagués ‘Azure Security’

Résultat de recherche d'images pour "azure lockbox customer"

Introduction

Azure Customer Lockbox est un service intégré dans le Portail Azure qui vous permet de vérifier la confidentialité et l’intégrité de vos données en contrôlant (auditer et approuver) les accès demandés par les équipes d’ingénieurs de support Azure de Microsoft.

Ce service Azure a vu le jour car plusieurs clients disposant d’une politique de sécurité sérieuse, ont fait part de leur exigence à Microsoft quant à la confidentialité et accès à leurs données hébergées dans les Datacenters Azure de Microsoft.

Constats

Questions très logiques posées par la quasi totalité de mes clients aujourd’hui :

  • Comment puis-je m’assurer de la confidentialité et l’intégrité de mes données hébergées/stockées sur Azure ?
  • Comment puis-je vérifier que Microsoft (plus précisément les équipes d’administrateurs et ingénieurs Microsoft) n’accèdent pas à mes données hébergées/stockées sur Azure ?

La première réponse est bien évidemment : L’ENCRYPTION  >> Chiffrement des données de bout-en-bout

Toutes les données hébergées dans le Cloud, que ce soit sur Azure ou d’autre CP (Cloud Platform) doivent être chiffrées, cela concerne :

  • Les données in-transit
  • Les données in-use
  • Les données at-rest

Le chiffrement de vos données dans le Cloud garantie la confidentialité et intégrité de vos données : seules les personnes détenant la clé de chiffrement peuvent déchiffrer et accéder à vos donnés.

La deuxième partie de la réponse est aujourd’hui la disponibilité du service Customer Lockbox dans le Portail Azure.

Note : ce service est également disponible Pour Office 365

 

Services pris en charge par Azure Customer Lockbox

Le Customer Lockbox concerne uniquement l’accès à vos VMs Azure.

Si l’équipe d’ingénieurs Microsoft en charge de la partie IaaS VM Azure a besoin d’accéder à vos VMs (pour des besoins de Troubleshooting, Maintenance…etc), vous recevrez donc une demande d’accès depuis ce Service, et vous aurez la possibilité d’accepter (approuver) ou pas cette demande.

 

Azure Customer Lockbox : Implémentation

Rien à faire de votre côté :).

Le service est déjà activé et available for use.

 

Azure Customer Lockbox : Tour d’Horizon

Faisons un tour d’horizon du service Customer Lockbox Azure.

  • Connectez-vous sur le Portail Azure
  • Saisissez « Customer Lockbox » depuis la barre de recherche
  • Localisez et cliquez sur le résultat retourné comme montré dans la capture d’écran suivante :

 

Le Blade « Overview » du Customer Lockbox est présenté comme suit :

 

Les deux options suivantes sont proposées via le Customer Lockbox :

  • Review Requests (Redirect vers le Blade « Pending Requests ») : vous permet de visualiser toutes les demandes d’accès en cours envoyées par Microsoft et en attente d’une approbation de votre part. A partir de ce Blade, vous avez donc la possibilité de lister et approuver (ou pas) ces demandes d’accès. Dans l’exemple suivant, aucune demande en cours n’est en attente d’approbation.

Dans l’exemple suivant, deux demandes d’accès sont envoyées par l’équipe « Microsoft Support Enginner Team » et sont en attente d’approbation

 

  • Explore Logs (Redirect vers le Blade « Activity Logs ») : répertorie toutes les activités relatives aux approbations. Tous les journaux collectés sont listés depuis ce Blade. A consulter pour suivre qui et quand des demandes d’accès ont été approuvées (ou refusées) :

Je n’ai jamais reçu de demande d’accès à mes VMs Azure (Tenant Perso Azure) de la part de MS, donc aucun Log n’est disponible depuis « Activity Logs ».

Voilà 🙂

#HK

Publicités

 

Liste des premiers modules de la série « Gouvernance Azure »

Les trois premiers modules de la série « Gouvernance Azure » sont disponibles depuis les URLs suivantes :

[Azure Free Training] Lesson1 : Définissez votre Convention de Nommage Azure

[Azure Free Training] Lesson2 : Protégez vos ressources Azure, Appliquez des « Locks Azure »

[Azure Free Training] Lesson3 : Tout ce que vous devez savoir sur Azure Tags

 

Introduction

Si vous devez migrer des Workloads depuis votre Corporate Network (aka Onprem) vers Azure (Lift & Shift Mode) ou construire de nouvelles architectures Azure (« Cloud Native » Mode), notez que la Step1 de votre projet va consiste à définir un Modèle de Gouvernance Global pour Azure.

Comme illustré dans le schéma ci-dessus, le modèle de Gouvernance Azure (Azure Scaffold) est composé de :

  • Convention de nommage (définition de vos naming standards pour vos ressources Azure)
  • Modèle de délégation (RBAC)
  • Policy (Stratégies Azure)
  • Tags (Azure Resources Tags)
  • Azure Locks
  • Subscrption Design (Nombre d’abonnements à créer..etc)
  • …Etc

 

Durant cette « Lesson 4 », nous allons découvrir un composant critique du Scaffold Azure qu’est « Azure Policy » ou « Stratégie Azure » en Français.

Azure Poliy est service de sécurité (et Gouvernance) Azure très puissant qui vous permet de définir et appliquer une politique de sécurité « Dès la concepton » (ou Security by Design en Anglais).

Azure Policy peut être utilisé pour renforcer la sécurité de votre environnement Azure en mettant en place des règles de sécurité telles que :

  • Pas de déploiement de ressources Azure hors « France »
  • Pas d’utilisation d’adresse IP Publique sur vos VMs
  • Forcer l’utilisation de vos images Master Windows pour Azure VM
  • Forcer le chiffrement des comptes de stockage Azure
  • Auditer si des comptes propriétaires n’ont pas de MFA « activé »

 

Avec Azure Policy, vos ressources Azure restent « Compliant » avec votre politique de sécurité existante, vous maitrisez aussi votre gouvernance global Azure en forçant vos règles/exigences de sécurité dès le déploiement de tout service Cloud Azure.

Consultez le document SlideShare ci-dessous pour en savoir plus, Enjoy :).

 

Step-by-step guide sur Azure Policy : Introduction & HowTo

Le document est disponible sur SlideShare, à cet URL.

Vous pouvez aussi le visualiser directement depuis ce post, voir Slide ci-dessous :

Ce Slide a été rédigé en Anglais (pour atteindre un public plus large) mais sera bientôt disponible en Français sur la même plateforme.

 

Next Lesson ?

Je travaille actuellement sur les autres « Lessons/Modules » du modèle de Gouvernance Global Azure, à savoir :

  • Azure RBAC
  • Azure Resources Groups
  • Azure Automation

 

N’hésitez pas à vous abonner à mon Blog (ou à mon profil SlideShare) pour rester informé de toute nouvelle publication.

Sinon, vos Comments/Feedbacks sont bien évidemment les bienvenus :).

#HK

Hi Folks,

Microsoft a récemment annoncé la disponibilité générale (GA : General Availability) d’Azure AD Password Protection.

Je vous recommande vivement de le configurer désormais sur vos Directories Azure AD.

Lien utile

J’avais déjà rédigé dans le passé un post détaillant le sujet (Azure AD Password Protection) ainsi que l’option « Smart Lockout ».

Je vous invite à consulter cet article pour en savoir plus : https://hichamkadiri.wordpress.com/2018/07/21/azure-security-introduction-a-azure-ad-password-protection-et-smart-lockout-desormais-disponibles-en-public-preview/

 

Premier module de la série « Gouvernance Azure »

Le premier Module de la série « Gouvernance Azure » > « Azure Naming Convention » est disponible depuis l’URL suivante :

[Azure Free Training] Lesson1 : Définissez votre Convention de Nommage Azure

 

Introduction

Si vous devez migrer des Workloads depuis votre Corporate Network (aka Onprem) vers Azure (Lift & Shift Mode) ou construire de nouvelles architectures Azure (« Cloud Native » Mode), notez que la Step1 de votre projet va consiste à définir un Modèle de Gouvernance Global pour Azure.

Comme illustré dans le schéma ci-dessus, le modèle de Gouvernance Azure (Azure Scaffold) est composé de :

  • Convention de nommage (définition de vos naming standards pour vos ressources Azure)
  • Modèle de délégation (RBAC)
  • Policies (Stratégies Azure)
  • Tags (Azure Resources Tags)
  • Azure Locks
  • Subscrption Design (Nombre d’abonnements à créer..etc)
  • …Etc

 

Durant la « Lesson 2 », nous allons découvrir la composante « Azure Locks » ou « Verrous Azure » en Français.

Il s’agit d’une Feature de sécurité Azure qui vous permet de protéger vos abonnements, Groupes de Ressources ou encore des ressources Azure spécifiques contre la modification ou suppression accidentelle.

 

Step-by-step guide sur Azure Locks : Introduction & HowTo

Le document est disponible sur SlideShare, à cet URL.

Vous pouvez aussi le visualiser directement depuis ce post, voir Slide ci-dessous :

Ce Slide a été rédigé en Anglais (pour atteindre un public plus large) mais sera bientôt disponible en Français sur la même plateforme.

 

Next Module : Azure Tags

La troisième Module « Azure Tags » est disponible à cet URL :

[Azure Free Training] Lesson3 : Tout ce que vous devez savoir sur Azure Tags

N’hésitez pas à vous abonner à mon Blog pour rester informé de toute nouvelle publication.

A bientôt,

#HK

Introduction
Azure Policies (ou Stratégies Azure) est une composante critique et importante du modèle de Gouvernance Global Azure.
Ce service vous permet de définir, créer et contrôler vos stratégies de sécurité (by Design) et de Compliance pour rester ISO avec vos normes/exigences de sécurité existantes (OnPrem).
Les Azure Policies vous permettent (entre autres) de :
  • Définir les régions dans lesquelles autoriser vos utilisateurs Azure à déployer les services Cloud Azure
  • Définir (Forcer) une Convention de nommage Azure à respecter lors de la création des Ressources Azure
  • Définir un Centre de coût (Billing Owner/Cost Center) pour des besoins de « Charge-Back »
  • Définir les types/Sizes de VMs pouvant être créées/déployées
Dans l’exemple suivant, nous allons créer une Stratégie Azure pour restreindre la création d’une interface Publique (Public IP Address) au sein d’un Groupe de Ressource (RG : Resource Group). Notez que cela peut aussi s’appliquer un Abonnement Azure.

Quel Outil utilisé ?

La création d’une stratégie Azure (Azure Policy) peut se faire via différents outils, à savoir :

  • GUI : Portail Azure
  • CLI  : PowerShell ou Az Cloud Shell

Dans l’exemple suivant, nous allons utiliser un Script PowerShell pour crée et assigner notre Azure Policy. Je vous détaillerai aussi la procédure à suivre pour créer et assigner une Stratégie Azure via le Portail Azure.

 

HowTo : Restreindre/Refuser la création d’Interface (IP@) Publique via PowerShell

Lancez une instance Windows PS ou de préférence PowerShell ISE, et Copy/Paste ensuite les codes PS ci-dessous :

Note : vous devez bien évidemment remplacez les valeurs du Script avec celles correspondant à votre environnement (Nom Abonnement, Nom RG…etc)

Ce script PS est disponible en Free Download depuis la Gallery TechNet :

 

 

Une fois le script exécuté, rendez-vous sur le Portail Azure, cliquez sur votre Groupe de Ressource Azure, et cliquez sur « Stratégies » > « Vue d’ensemble »

Comme illustré dans la capture d’écran ci-dessous, ma nouvelle Policy apparaît et m’indique que plusieurs Ressources Azure ne sont pas « Compliant » !

Sachez que cette nouvelle stratégie va permettre la restriction (refus) de création de toute nouvelle @IP Public mais ne peut en aucun cas modifier la configuration existante, si vous avez des VMs avec des NIC Public, il faudra modifier cela manuellement (Dissocier/Delete les Interfaces/IPs Publiques !) :

Essayons maintenant de créer une nouvelle adresse IP Publique pour mon serveur d’Administration (Jumpbox/ RDSH Server).

Je renseigne donc les premières valeurs de paramètres :

Ensuite la deuxième partie :

Lorsque je Click sur « Créer » pour lancer le déploiement du nouveau service Cloud (Public IP), le message d’erreur suivant est retourné :

Il est clairement indiqué que l’opération a été refusée/rejetée par la Stratégie Azure : RestrictionCreatPublicIP 😦

 

Ré-utiliser cette stratégie pour d’autres « Scopes »

Sachez que cette même stratégie Azure peut être appliquée (Assignée) à d’autres périmètres (D’autres Groupes de Ressource ou Abonnements Azure), pour ce faire :

  • Connectez-vous sur le Portail Azure > Cliquer sur l’objet sur lequel vous souhaitez « Linker » cette Policy (Groupe de Ressource ou Abonnement), enfin cliquez sur « Stratégies » :
  • Dans l’exemple suivant, je vais simplement restreindre la création d’@IP publique pour mes VMs (et LBs) hébergés dans le Groupe de Ressource « hk-confident-rg« , car je ne souhaite pas que mes ressources soient exposées à Internet (eg : VM accessible via RDP ou SSH depuis Internet !!!).

Maintenant, il suffit de cliquer sur « Assigner une stratégie » :

Notez que cette option est également disponible depuis le vole « Création > Affectations« 

Useful info : Code JSON de cette Azure Policy
Si vous souhaitez créer cette même Policy depuis le Portail Azure, vous aurez besoin du code JSON suivant :
{
  "if": {
    "anyOf": [
      {
        "source": "action",
        "like": "Microsoft.Network/publicIPAddresses/*"
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

En savoir plus sur les Stratégie Azure
Si vous êtes pas encore familier avec les Azure Policies, je vous invite à consulter cet article.
A bientôt pour de nouveaux posts autour de la sécurité et Gouvernance Azure :).
#HK

 

Useful Info : Si vous n’avez pas encore consulté les 6 premiers HowTo Azure CLI 2.0, ceux-ci sont disponibles aux URLs ci-après:

HowTo #N°1 : Connecter l’interface Azure CLI 2.0 à votre abonnement Azure

HowTo #N°2 : Créer et gérer les groupes de ressources Azure

HowTo #N°3 Créer et gérer les réseaux virtuels Azure (VNET : Virtual Network)

HowTo #N°4 Créer et gérer les Machines Virtuelles Azure (Azure VM)

HowTo #N°5 : Gérer la facturation Azure (Azure Billing)

HowTo #N°6 Créer et gérer vos comptes de Stockage Azure

 

Introduction

Azure NSG (Network Security Groups) ou Groupes de Sécurité Réseau vous permettent de contrôler (autoriser ou refuser) le trafic entrant et sortant depuis et vers vos ressources Azure.

Les NSG sont basées sur des listes de règles de sécurité que vous créez/définissez manuellement. Notez que lors de la création d’un NGS, des règles par défaut sont générées automatiquement pour sécuriser certains trafics réseaux. Ces règles peuvent être bypassées en mettant en place des règles personnalisées.

Tip : Je vous invite à consulter cet article pour en savoir plus sur les NSG, leur fonctionnement et leur limitation.

 

La création d’un Groupe de Sécurité Réseau (NSG) peut se faire via :

Le nouveau portail Azure : portal.azure.com

Windows PowerShell : utilisation du module PS Azure

Azure CLI 2.0 : via l’utilisation de la commande az network nsg

 

Nous allons découvrir à travers cet article la troisième méthode qu’est l’utilisation de l’interface Azure CLI 2.0

Now let’s create & manage our Azure NSG via Azure CLI 2.0__O

 

HowTo : créer et gérer vos Groupes de Sécurité Réseau Azure (NGS)

Tout d’abord, je vous invite à saisir az network nsg -h pour en savoir plus sur les sous-commandes disponibles :

Pour lister tous les NSG existants, saisissez la commande suivante : az network nsg list 

Tip : pour une meilleure visibilité de la commande output, saisissez az network nsg list –out table

Commencez par créer un groupe de Ressource 

Azure ARM (Azure Resource Manager) introduit le concept des Groupes de ressources (RG : Resource Group). Ces derniers font office de « Conteneur » pour grouper et gérer les ressources Azure de manière centralisée.

Dans notre cas, nous allons créer un groupe de ressource pour regrouper les différents NSG Azure que nous allons créer par la suite.

Exécutez donc la commande suivante pour créer un nouveau groupe de ressource (nommé hk-demo-howto7) au niveau de la région Europe de l’Ouest (WestEurope)

az group create -n hk-demo-howto7 -l WestEurope

Maintenant que notre Groupe de Ressource est créé, nous allons créer notre premier Groupe de Sécurité Réseau Azure. Pour ce faire, exécutez la commande suivante (NSG nommé hk-demo-nsg dans l’exemple suivant) :

az network nsg create -n hk-demo-nsg -l WestEurope -g hk-demo-howto7

Vous pouvez également ajouter des « Tags » à vos NSG lors de leur création, dans l’exemple suivant nous allons créer un nouveau NSG Taggé « very_secure_network » :

az network nsg create -n hk-demo-nsg-vsecure -l WestEurope -g hk-demo-howto7 –tags very_secure_perimeter no_80 no_22 no_21

Pour afficher des informations détaillées sur un NSG spécifique, la commande suivante est à exécuter (hk-demo-nsg-vsecure dans l’exemple suivant) :

az network nsg show -n hk-demo-nsg-vsecure -g hk-demo-howto7

Enfin, si vous souhaitez supprimer un NSG, exécutez la commande suivante (hk-demo-nsg-vsecure dans l’exemple suivant) :

az network nsg delete -n hk-demo-nsg-vsecure -g hk-demo-howto7

Plusieurs HowTo Azure CLI (N°8/9 et 10) arrivent bientôt, so let’s keep in touch :).

A bientôt

#HK

Hi Azure Guys,

Microsoft a récemment publié un guide complet détaillant toutes les bonnes pratiques liées à la Sécurité Azure, cela comprend :

 

Je vous invite à consulter les liens ci-dessus et prendre connaissance de toutes les Security considerations & options lors de la phase « Design » de votre projet Cloud Azure.

Source : https://docs.microsoft.com/en-us/azure/security/security-best-practices-and-patterns