In de vorige post (link) al even benoemd dat mijn collega Dirk Jan en ik binnenkort een poging gaan wagen om de certificering van Azure-900 (Fundamentals) binnen te halen. Je kunt in die post de samenvatting lezen van "dag 1", hieronder krijg je mijn uitwerking van "dag 2". De dag dat security, privacy, compliance en trust en pricing/support op de planning staan.
Matt en Garrett zitten er weer klaar voor. Matt benoemt nog even dat voor de serie van Azur-500 je 4/5 dagen onder de pannen bent. Voordat we los gaan geeft Matt nog een boekentip, het boek the Cuckoo's Egg geschreven door Clifford Stoll (link). Het gaat over een computer-hacker, binnenkort maar eens lenen bij dBieb!
Je hebt de processen die Identity bepalen en die Access bepalen. De zaken zijn georganiseerd op basis van Role Based Access Control. Group Policy is voor de interne Azure-toegang. Federation Services is voor externe toegang zoals Salesforce, Dropbox.
DDOS-beveiliging is gratis voor iedereen (zal de basic versie zijn, was ook al in de 1e training benoemd).
Je hebt NSG, Network Security Group, dat is een intern filter voor toegang (of geen toegang).
Het werkt van "boven naar beneden", als een echt filter dus. Als je eerst in een "allow" groep valt en daaronder in een "deny" groep heb je toegang, omdat de "eerste match" leidend is.
In het filter kunnen van 100 tot 4.096 regels opgenomen worden (je begint volgens mij bij 100 te tellen).
Bij Application Security Group werk je op naam (?).
De allerlaatste regel is altijd all-all-all-deny, om iedereen die niet expliciet toegang geweigerd is (of juist toegang gegeven is) tegen te houden.
Als je problemen hebt, gebruik de Network Watcher.
- Topology
- Ip Flow verify (je kunt een ping doen)
- Next hop (je kunt een traceroute doen)
Wat heb je nog meer in Azure?
- Keyvault. Niemand vindt het fijn om credentials in een tekstbestand (al of niet geëncrypt) op te slaan. Met Keyvault heb je een kluis waarmee je kunt connecten en een plek om het veilig op te slaan.
- Security Center
- Identity Protection (als je binnen 2 minuten eerst ingelogd bent in Amsterdam en daarna in New York beginnen er alarmbellen te klinken).
- Azure policies (Matt was voor werk in Hongkong, hij werkte altijd vanuit de USA. Daarom extra inlogacties nodig om binnen te komen (op basis van region, ip).
- Audit policy
- Deny policy
Het menu-item Resource Group Access Control (IAM) waarbij je kunt aangeven of iemand Owner, Reader of Contributor is.
- Resource-locks, je kunt een resource "niet verwijderbaar" maken, ook kun je aanvullend de resource read-only maken. We hadden bij training 1 al aangegeven dat Microsoft geen backups maakt en weg=weg is. Hiermee kun je jezelf beschermen. Bij read-only, als je een Virtual Machine hebt, daarbinnen kun je nog wel wijzigingen doorvoeren.
- Blueprints.
- Tags (al eerder benoemd, soort aantekeningen voor resources of facturatie)
- Azure Monitoring
- Action Groups (alarm monitoring)
- Azure Service Health
- Azure Advisor (free). Deze dienst kan het advies geven: je VM gebruik 80%, wil je er één bij? Maar ook: hij wordt maar 20% gebruikt, door te verkleinen bespaar je geld.
Bij het combineren van producten heb je een composite SLA. Microsoft heeft goede cijfers met beschikbaarheid. Als dat van product X 99,99 is en van product Y 99,50 en deze producten worden gecombineerd, dan is de SLA 99,99 x 99,50.
Als je in je dashboard naar beneden scrollt worden de free services getoond. Doe er je voordeel mee.
We zien de calculator voor het berekenen van de totale kosten. Als je een eigen Enterprise Agreement hebt is het aan te raden om in te loggen, omdat de prijzen daar meteen mee gaan rekenen.
Voor vragen/problemen, vanuit de VM kun je een new support request sturen (zo'n beetje vanaf elke plek in het menu) en zoals Matt zegt, vergeet niet het twitter-account, want daar zitten ook 400 professionals vragen te beantwoorden.
Nog even de screenshots door:
Defense in depth
Je hebt de verschillende lagen:
- Physical security
- Identity and access
- Perimeter
- Network
- Computer
- Application
- Data
Shared Security
Niet alle verantwoordelijkheid ligt bij Microsoft, ook de klant zelf moet actie ondernemen. We zien het voorbeeld van "on-premise", waarbij alle verantwoordelijkheid voor de klant is. Bij IaaS liggen physical hosts, physical network en physical datacenter op het bordje van Microsoft. Bij PaaS komt operating system erbij en wordt network controls, application en identity en directory infrastructure gedeeld tussen Microsoft en klant. Bij SaaS neem Microsoft Application en Network controls onder haar hoede. De 3 onderdelen Data governance en Rights Management, Client endpoints en Account en Access Management is bij alle onderdelen de verantwoordelijkheid van de klant.
Authentication en Authorization
Deze worden nog wel eens door elkaar gehaald. Authentication is het bepalen wie aan de andere kant van de lijn aan de deur klopt. Ben jij wie je zegt te zijn? Authorization is de volgende stap, de aanname is dat authentication succesvol was, nu wordt bepaald wat je wel en niet mag.
Azure Active Directory (AD)
Een mooie dienst van Azure. Hiermee kun je de volgende acties uitvoeren:
- authenticatie (medewerkers loggen in om bij bepaalde bronnen te kunnen komen)
- Single sign-on (SSO). Niet op 20 plekken je username/password in hoeven voeren.
- applicatie management
- business to business
- business to consumer identity services
- device management
De verschillen tussen de Azure Active Directory en de Active Directory binnen het bedrijf worden nog even uitgelicht:
- cloud vs binnen het bedrijf
- HTTP en HTTPS vs query via LDAP
- Query-en via Rest API's vs Kerberos voor authenticatie gebruiken
- gebruikt SAML, WS-Federation of OpenID voor authenticatie vs geen federation services
- gebruik OAuth voor authenticatie vs organisational units (OU's)
- inclusief federation services
- een platte structuur
Bij Azure kun je gebruik maken van Multi-Factor authenticatie;
Voor volledige authenticatie heb je dan nog iets extra's nodig en dat is iets:
- wat jij weet
- wat jij hebt
- wat jij bent
Azure network security oplossingen
Azure ondersteunt gecombineerde netwerk-security oplossingen. Bijvoorbeeld NSG's met Azure Firewall of web application firewall (WAF) met Azure Firewall.
- Perimeter layer: beschermt je met Azure DDos beveiliging en Azure Firewall
- Networking layer, zorgt dat alleen verkeer tussen network-resources kan plaatsvinden met Network Security Groups inbound en outbound regels
Azure Firewall
Stateful, managed, Firewall as a Service (FaaS) dat op basis van IP-adres je wel of geen toegang geeft tot netwerk-resources.
- Past inbound en outbound filtering-regels toe
- Ingebouwde hoge beschikbaarheid
- Geen beperkingen qua cloud-schaalbaarheid
- Gebruikt Azure Monitor logging
De Azure Application Gateway levert ook een firewall aan, de Web Application Firewall (WAF). Deze regelt gecentraliseerd de inbound-beveiliging van je web-applicaties.
Azure Distributed Denial of Service (DDoS) bescherming
De basic service tier is automatisch actief in Azure. De standard service tier voegt mitigatie capaciteiten toe, deze service is getuned om Azure Virtual Network resources te beschermen.
Network Security Groups (NSGs)
Filtert netwerkverkeer naar en vanaf Azure resources op Azure Virtuele Networks.
- Stel inbound en outbound regels in om te filteren op bron, bestemmings, poort en protocol
- Voeg meerdere regels toe binnen abonnementlimieten
- Azure voegt zelf standaard, baseline regels toe aan nieuwe NSGs.
- Je kunt deze standaard regels overrulen door zelf nieuwe regels met hogere prioriteit toe te voegen
Azure Security Center
Een monitoring-service die je bescherming biedt tegen bedreigingen over al je Azure en on-primise diensten.
- Geeft je beveiligingsadviezen op basis van jouw configuraties, resources en netwerken
- Monitort je beveiligingsinstellingen op je on-premise en cloud workloads
- Zorgt dat bij nieuwe services die je toevoegt automatisch jouw security policies toegevoegd worden
Je kunt het Security Center in een aantal stadia gebruiken. Je hebt Detect, Assess en Diagnose. De stadia die daarna beschreven worden horen hier niet meer bij, dat zijn Stabilize en Close. Gebruik de aanbevelingen om je veiligheid te waarborgen.
Azure Key Vault
De plek om je geheim te houden gegevens op te slaan. Dat kan voor "secrets", "keys", "certificates" en "secrets backed by hardware security modules" (HSMs).
Azure Information Protection (AIP)
Het classificeert en beschermt documenten en mails door labels toe te voegen. Dat kan automatisch, door ingestelde regels en voorwaarden, ingesteld door administrators, handmatig door gebruikers en door een combinatie van deze acties, op basis van aanbevelingen.
Azure Advanced Threat Protection (Azure ATP)
Een cloud-gebaseerde oplossing om bedreigingen te identificeren, detecteren en te onderzoeken, gecompromitteerde identiteiten en "malicious" insider acties.
- Dit is een portal voor het monitoren en reageren op verdachte activiteit.
- Sensors zijn geïnstalleerd op je domeincontrollers.
- De cloud service draait op de infrastructuur van Azure
Dit was volgens mij het punt dat geconstateerd wordt dat een medewerker ineens alle gegevens van klanten gaat downloaden en dat anders nooit doen.
Azure Policy
Zorg dat je in sync blijft met de bedrijfsstandaarden en Service Level Agreements door policy definition-rules op je Azure resources toe te passen.
- Het evalueert en identificeert Azure resources die niet aan je policies voldoen
- Biedt ingebouwde policy en initiative definities, op categorieën als Storage, Networking, Compute, Security Center en Monitoring
De stappen zijn: maak een policy definition aan, wijs deze toe aan een resource, review de resultaten.
Je kunt policies samenvoegen tot een blok, dat is een policy initiative. Zo zou je alle adviezen van het Security Center in 1 initiatief kunnen plaatsen.
Role Based Access Control (RBAC)
Hiermee kun je medewerkers toegang geven (of juist weigeren) tot de Azure portal en de toegang tot resources instellen.
Azure Blueprints
Maak herbruikbare omgeving-definities aan waarmee je Azure resources opnieuw kunt aanmaken en waarbij ook je policies meteen doorgevoerd worden.
- goed voor het auditen en tracen van je deployments en zorg zo voor reproduceerbare resultaten
- associeer blueprints met specifieke Azure DevOps gebouwde artefacten en release pipelines voor gedetailleerde tracking
Monitoring applicaties en services
Analyze, gebruik varianten van Azure Monitor voor resources (containers, virtual machies) met Azure Application Insights for Applications
Respond, Azure Alerts kunnen je pro-actief over kritieke zaken in de data die je monitort, gebruik Auto-scale met Azure Monitor Metrieken
Visualize, gebruik Azure Monitor data om interactieve visualisaties te maken met Power BI
Integrate, integreer Azure Monitor met andere systemen om op maat gemaakte oplossingen te maken die voldoen aan jouw wensen
Azure Service Health
- Azure Status, toont een globaal overzicht van Azure Services "state of health"
- Service Health, een aanpasbaar dashboard voor het tracken van de staat van de services in jouw region
- Azure Resource Health, het diagnosticeren en support krijgen voor Azure service issues die jouw resources raken
Azure Advisor
- Analyseert jouw Azure resources en geeft aanbevelingen hoe je de beschikbaarheid kunt verbeteren, de beveiliging, performance en kosten.
- Hiermee krijg je pro-actief uitvoerbare en gepersonaliseerde best-practices aanbevelingen
Compliance Terms en Requirements
Microsoft biedt de meest uitgebreide set van compliance diensten (inclusief certificeringen) van alle cloud-providers. Hieronder vallen onder andere
CJIS (criminal justice information services), HIPAA (health insurance protability and accountability act), CSA Start certification, General Data Protection Regulation (GDPR), ISO/IEC 27018, National Institute of Standards and Technology (NIST).
Azure Government Services
Azure heeft ook bepaalde diensten voor de overheid (niet voor andere klanten beschikbaar).
- Losse instanties van Azure
- Fysiek geïsoleerd van non-US overheid deployments
- Alleen toegankelijk door gescreend, geautoriseerd personeel
Voorbeelden van de standaarden zijn hier FedRAMP, NIST 800.171 (DIB), ITAR, IRS 1075, DoD L2, L4 en L5 en CJIS.
China wordt als voorbeeld genoemd, daar is een losse, separate Azure cloud in beheer bij 21Vianet (Azure China 21Vianet).
Azure subscriptions
Een Azure subscription geeft jou toegang tot Azure accounts.
Een account kan één of meerdere subscriptions bevatten.
Je hebt een free-variant, pay-as-you-go, Enterprise Agreement, Student.
Een free-account biedt je: een jaar lang toegang tot de meest populaire services, 200 dollar credit om een service voor 30 dagen te proberen en meer dan 25 services zijn gratis te gebruiken. Aan het eind kun je upgraden naar pay-as-you-go-pricing.
Prijzen zijn afhankelijk van resource type, service en region.
Management Groups
Een management group kan meerdere subscriptions bevatten.
De subscriptions erven de voorwaarden over van de management groups.
In één directory kunnen 10.000 management groups ondersteund worden.
Een management group boom kan tot 6 levels diep gaan.
Zones voor billing purposes
Sommig intern Azure-verkeer is gratis. Voor outbound data is de prijs gebaseerd op Zones.
Zone 1, West US, East US, West Europa en anderen.
Zone 2, Australia Central, Japan West, Central India en anderen.
Zone 3, Brasil South
DE Zone 1, Germany Central en Germany Northeast
Kosten minimaliseren
Perform: gebruik Azure Pricing en de TCO calculator
Monitor: hou je verbruik in de gaten met de Azure Advisor
Use: gebruik limieten en je free-trial customers
Use: gebruik Azure Reservations en Azure Hybrid Benefit (HUB): alleen zaken inschakelen bij hoog gebruik
Choose: kies voor locaties met lage kosten en regions
Keep: blijf up-to-date met de meest recente aanbiedingen
Apply: gebruik de tags om in je facturen te zien wat jouw kostenposten zijn
Support plan options
Basic: beschikbaar voor alle Azure accounts
Developer: proef- en non-productie omgevingen. Tijdens kantooruren toegang tot support engineers via mail
Standard: productie-omgevingen. 24x7 toegang tot support engineers via mail en telefoon
Professional Direct: bedrijfskritische applicaties. 24x7 toegang tot support engineers via mail en telefoon. Operation support: onboarding services, service reviews, Azure Advisor consultations
Premier: meerdere producten waar het bedrijf zwaar op leunt. 24x7 toegang tot support engineers via mail en telefoon. Operation support: technisch account manager geleide service reviews en rapportages
Alternatieve kanalen zijn er ook;
Microsoft Developer Network (MSDN), Azure-Forums, Stack Overflow, Server Fault, Microsoft Azure general feedbacks, Twitter: @AzureSupport
Ook heb je het Knowledge Center.
Als je de toekomstige nieuwe features wilt bekijken, ga dan naar preview.portal.azure.com
De updates die doorgevoerd worden kun je hier in een RSS-feed bekijken: link.