slider

Finalizace migrace do Azure

Během poslední etapy projektu se budeme soustředit na konsolidaci nového prostředí a proškolení administrátorů ohledně best practices v Azure Cloudu. Stabilizace konvence, pravidelné kontroly a automatizace jsou velikou předností prostředí Microsoft Azure. Předpokladem úspěchu a budoucí spokojenosti zákazníků je nasazení bezpečného, přehledného a reaktivního prostředí. V rámci poslední fáze projektu můžeme využít následující služby:

  • Azure Backup
    Umožní zálohy napříč kontinenty v případě lokálních výpadků na úrovni datacenter
  • Azure Monitoring
    Za koexistence s prostředím pro sběr dat (Azure LogAnalyticsWorkspace) zajišťuje možnost sběru dat o každé součásti, která je vázána na Azure. Pomocí tohoto nástroje jsme schopni vytvářet intuitivně přehledy vytížení jednotlivých strojů, databází, služeb a webových prostředí.
  • Azure Locks a Azure Policies
    Tyto služby využíváme pro zajištění ochrany vůči nechtěným překlepům ze strany administrátorů. Ať už v podobě zamykání prostředků proti smazání (Azure Locks) nebo proti nasazování prostředků do části infrastruktury, kam nepatří (Azure Policies)
  • Azure Tags
    Azure Tags jsou využívány jak k zjednodušení filtrování prostředků v Azure, tak pro zajištění perfektního reportingu ohledně nákladů na rozličné části prostředí.

Obrázek 1, Využití Azure Tags na produkčním prostředí

Azure Access Control (IAM)

Pro zajištění přístupů uživatelů do správcovské konzole Azure Využijeme právě tuto možnost, neboť nám umožní povolit uživatelům i jiné formy administrace než přes administrátora celého prostředku. Ideálním příkladem je sada developerských serverů, které si developer sám zapíná / vypíná. Pro tento účel mu můžeme povolit na skupině prostředků, kde se stroje budou nacházet možnost k zapínání a vypínání virtuálních strojů. Vývojář bude poté mít pouze přístup, který potřebuje (Bezpečnost), ale zároveň není závislý na tom, že se o management těchto strojů staral někdo jiný a on na něj musel čekat v případě, že chce něco testovat (Uživatelská svoboda).

Azure Firewall
V prostředí Azure se dá kontrolovat přístup do Infrastruktury hned několika způsoby. Vzhledem k tomu, že bezpečnost jako taková je oblast, ve které je potřeba přemýšlet ve vrstvách (Každá překážka navíc je pro potenciálního útočníka o to nepříjemnější.), doporučujeme pro zákazníky, kteří využívají služeb Azure bez On-Premises licencovaného a udržovaného firewallu od Fortinetu nebo Cisca, právě využítí služby Azure Firewall, která je velice solidní náhradou zmiňovaných řešení a umožní nám mimo standardní funkcionalitu firewallu i sbírat diagnostická data, která se pak promítnou v doporučeních pro zvýšení bezpečnosti v Azure pomocí robustní umělé inteligence a IoT, které Azure poskytuje.

Azure Security Center
Služba, která funguje jako přehledový dashboard zabezpečení, ve které naleznete základní proaktivní doporučení, podle kterých můžete infrastrukturu ještě víc zabezpečit. Pomocí diagnostickým nastavením, které provedeme pomocí nastavení Azure LogAnalyticsWorkspace nad každým stěžejním strojem, jej propojíme s tímto diagnostickým souhrnem a pomocí diagnostiky jsme schopni lépe předcházet potenciálním potížím.

Obrázek 2, přehledová tabulka Azure Security centra

Azure Defender
Možnost rozšíření bezpečnosti přímo na prostředky infrastruktury vyšší úrovně, Azure Defender je placená varianta Azure Security Centra, která stojí 13€ za virtuální stoj, na kterém je spuštěna. Ve většině případů je vhodné mít tuto službu nasazenu na všech strojích. Funguje principielně podobně jako antivirus, akorát zasahuje hlouběji v tom ohledu, že je schopna monitorovat nežádoucí procesy. Na základě běhu strojů nejdříve analyzuje, jaké procesy jsou pro běh aplikací potřebné a po fázi učení je schopen aktivně reportovat neshody s nastavením. Samozřejmě se nové workloady do strojů zadat tak, aby je pak služba sama neodstřihla. Mimo ochranu prostředků zajišťuje i službu Azure JIT (Just In Time), která umožňuje adaptivní otevírání portů pro specifikované identity, nebo skupiny (Pro příklad, uživatel, který je součástí skupiny, na kterou je JIT uplatněno pro server dev01 se může připojit na RDP tak, že zapne RDP session a JIT v tu chvíli na stroji povolí port 3389 z IP adresy identity, která se hlásí o přístup, po jejím odpojení zase IP adresu z access listu odebírá.). Tím se vyhneme IP spoofingu se stanovenými IP adresami   pro přístup a zabezpečíme infrastrukturu o to více.

Obrázek 3, Dashboard Azure Defenderu

Azure Sentinel
SIEM (Security Information and Event Management) v prostředí Microsoft Azure, poskytovaný jako služba (SaaS). Azure sentinel funguje jako automatický orchestrátor bezpečnostních opatření. Na základě umělé inteligence kouká na celé prostředí Microsoft 365 a Azure ptačí optikou a podniká kroky k zajištění bezpečnosti v organizaci. Sentinel je možno navázat na téměř každou službu, která generuje log data, ze kterýchbychom mohli potenciálně odhalit nežádoucí aktivitu ve Vašem firemním prostředí.

Obrázek 4, popis Azure Sentinelu

O všech zmíněných bezpečnostních technoligiích se dozvíte více ze záznamu našeho nedávného webináře Dejte Azure šanci.

 

Chcete se pobavit na téma Microsoft Azure?

 
Dejte nám na sebe kontakt a my Vám následně pomůžeme navrhnout cloudové prostředí podle Vašich potřeb.

Mám zájem o více informací k Azure.