Správa firemních zařízení

Napadá vás, jak předejít zneužítí dat, když zaměstnanci z vaší firmy někdo odcizí notebook, ve kterém se nachází informace kritické pro business? Může se stát, že počítač nechá přes noc v autě a někdo mu rozbije okénko, nebo si jednoduše někde zapomene telefon a nemá jej zabezpečený podle toho, o čem jste ho v rámci poslední společné schůzky na odpolední kávě informovali.

V případě, že se k zařízení dostane člověk, který bude chtít na skutečnosti, že se zmocnil cizího zařízení s choulostivými daty kapitalizovat, pak je pozdě plakat nad rozlitým mlékem, ale je spíš na čase si říct, jak se těmto situacím do budoucna můžeme vyhnout. Nedovolíme uživatelům vynášet zařízení z budovy? To asi ne.. Naštěstí pro nás všechny však můžeme implementovat v prostředí Vaší firmy službu Microsoft Intune, která nám pomůže v prevenci proti těmto situacím. Ať už se bavíme o vzdálené správě mobilních telefonů, nebo PC / Mac, vždy máme možnost zařízení vzdáleně smazat, mít jej zašifrované a obecně nastavené tak, aby splňovalo předpoklady pro bezpečné uchování dat (Aktualizace, instalace aplikací, …).

Říkáte si, že se vás žádná taková potřeba nedotkla? Buďte rádi, ale připravte se na to, že se to někdy může stát. Z praxe dobře víme, že problém, který se vyřeší ještě předtím než přijde, je ten nejlepší.

Chcete si vyzkoušet se pobavit na téma Mobile Device Management (MDM) / Mobile Application Management (MAM)?

 
Dejte nám na sebe kontakt, abychom spolu mohli prodiskutovat možnosti nasazení MDM/MAM ve Vaší firmě.

Mám zájem o více informací k MDM/MAM.


Proč zvažovat cloud?

V rámci několika posledních let se dostáváme do stavu, kdy se opouští od provozu vlastní serverové infrastruktury na svých premisách, nebo dochází k celkové modernizace aplikací do takzvaného Software as a Service (SaaS) módu, ve kterém nám poskytovatel zajistí plynulý běh služby, o kterou se nemusíme starat v jiném smyslu, než je správa uživatelských oprávnění a jiné „neserverové“ záležitosti. Příkladem SaaS, které poskytuje naše firma je Microsoft 365 nebo moderní ERP systém Business Central, který je díky svojí platformní univerzálnosti a funkcionalitě špičkovým ERP systémem pro malé a středně velké firmy.

Vedle toho figuruje varianta, při které zákazníci preferují možnost Infrastructure as a Service, která jim umožňuje vstupovat do správy samotných serverů, které jsou poskytovány třetí stranou. Třetí strana zajišťuje záležitosti, o které by se jinak starala firma ve své serverovně. Mezi tyto záležitosti patří:

  • Pravidelná obměna hardware (odpadne potřeba řešit prodloužení záruk, …)
  • Zabezpečení na úrovni datacentrového celku (zabezpečení strojů, poskytnutých jako IaaS se zákazník stará sám nebo pomocí zvoleného partnera)
  • Ochrana proti výpadkům elektřiny
  • Místo pro provoz serverů
  • Redundance serverových prostředků (tím pádem i vysoký service level agreement)
  • Možnosti vysoké dostupnosti serverů

Obě tyto varianty vyžadují pro každého zákazníka specifický přístup, abychom byli schopni splnit všechny požadavky, které jsou na produkty kladeny a zajistit spokojenost zákazníků do maximální míry. V rámci článkové série Serverové prostředí v cloudu Vás provedeme tím, jak pomáháme naším zákazníkům s onboardingem do cloudu.

Co zapříčinilo potřebu firem k modernizaci ve směru přesunu prostředků do cloudového prostředí mimo předchozí body?

  • Jednoduché, a přesto bezpečné zařízení přístupů k firemním prostředkům
  • Možnost škálovatelnosti cloudu (platím pouze za to, co využiji, nemusím kalkulovat na roky dopředu)
  • Administrace systémů z jednoho místa
  • Možnost využití tzv. hybridního módu, kdy část prostředků zůstává na premisách firmy a záležitosti, vyžadující vysokou dostupnost figurují v cloudovém prostředí
  • Náhrada aktualizačních oken (PaaS a SaaS), nebo jednoduchost jejich nastavení
  • Zbavení se části zodpovědnosti kvůli vysokému SLA
  • Ušetření času se správou vlastní serverovny

Vzhledem k těmto faktům se již několik let intenzivně zabýváme platformou Microsoft Azure, která všechna tato kritéria splňuje s kontinuálně přichází s inovacemi, které zákazníkům usnadňují práci. Ať už je to v podobě automatizace nebo možnosti vývoje pomocí platformy Azure DevOps.

Chcete se pobavit na téma Microsoft Azure?

 
Dejte nám na sebe kontakt a my Vám následně pomůžeme navrhnout cloudové prostředí podle Vašich potřeb.

Mám zájem o více informací k Azure.


Grafické aplikace na platformě Azure (Windows) Virtual Desktop

AVD (Azure Virtual Desktop, dříve Windows Virtual Desktop (WVD)) je cloudová platforma v prostředí Microsoft Azure, která umožňuje snadno vybudovat virtualizovaný Windows desktop pro různé typy aplikací. 

Přestože nejčastější scénář využití AVD je vzdálená plocha pro provoz Office a ERP aplikací firemních zákazníků, tak Microsoft pamatoval i na uživatele, kteří provozují aplikace, využívající grafickou akceleraci (GPU). V prostředí Azure jsou připraveny servery řady N, obsahující grafické akcelerátory firem NVIDIA i AMD. Díky tomu je ve AVD možno provozovat systémy pro editaci videa, CAD systémy, streamovací platformy nebo nástroje pro 3D modelování. Grafické adaptery v Azure zvládnou samozřejmě akcelerovat i nejnáročnější počítačové hry, takže si po práci můžete užít i trochu zábavy. 

Nasazení AVD pro provoz grafických aplikací je téměř shodný s nasazením běžných řad virtuálních serverů, ale přeci jen je během nasazení třeba pamatovat na určitá specifika. 

Microsoft doporučuje využívat pro AVD pouze řadu NV, konkrétně NVv3 využívající NVIDIA Tesla M60 GPUs s NVIDIA GRID technology a Intel E5-2690 v4 (Broadwell) procesor a NVv4 sérii, využívající GPU AMD Radeon Instinct MI25 GPU a procesor AMD EPYC 7V12. 

Ostatní řady akcelerovaných VM v Azure, konkrétně řady NC a ND, nejsou díky absenci podpory Windows driverů pro akceleraci běžných Windows aplikací pro provoz AVD vhodné. Zase ale podporují NVIDIA CUDA pro vysoce výkonné aplikace typu Machine Learning či AI (umělá inteligence). 

Při konfiguraci virtuálního počítače řady NV můžete narazit na problém, že vybraný model nebude ve vašem Azure předplatném a vybraném datacentru dostupný. V tom případě je třeba kontaktovat svého distributora či partnera, který požádá podporu Microsoftu o navýšení kvóty na vybraný typ virtuálního počítače. 

Podpora operačních systémů pro provoz AVD pro GPU aplikace je dostupná od Windows 10 verze 1511, Windows serveru 2016 a novějších. 

Po nasazení VM Hosta do HostPoolu je třeba po přihlášení na vzdálenou plochu nainstalovat příslušné grafické ovladače od výrobce grafické karty dle specifikace řady VM, kterou jsme pro HostPool definovali. Při instalaci NVv3 s adaptery NVIDIA je třeba myslet na to, že pouze NVIDIA GRID drivery, a ne NVIDIA CUDA drivery jsou podporovány pro akceleraci Windows grafických aplikací. Pro instalaci driverů je možné využít přímo rozšíření VM, dostupné v Azure portálu, nebo stáhnout a nainstalovat driver ručně. Aby driver správě pracoval ve virtuálním stroji a akceleroval grafické aplikace a rendering videa H.264/AVC, je třeba provést další konfiguraci pomocí skupinové politiky. 

Podle scénáře využití je možné virtuální stroje řady N nasazovat buď jako Personal Desktop, kdy jeden uživatel pracuje právě na jednom stroji, nebo jako sdílený stroj pro více uživatelů, pracujících současně. První scénář je uživatelsky přívětivější a umožňuje nastavit uživateli admin práva v počítači. Druhý scénář dokáže ušetřit značné náklady. 

Náklady za provoz virtuálního počítače lze dále snížit nákupem rezervovaných instancí, kdy si v daném datacentru služby Azure zarezervujeme konkrétní řadu VM na období jeden nebo 3 roky. Tímto způsobem je možné ušetřit až dvě třetiny nákladů. Další možností úspory je zapínat a vypínat konkrétní stroj jen na dobu, kdy je využíván. K tomu je možné využít nástroje automatizace, které tento administrativní požadavek provedou za vás. Případně je možné dát uživateli možnost si stroj zapnout a vypnout dle potřeby přímo na portále Azure nebo pomocí jednoduché aplikace v mobilním telefonu. 

Pokud by s provoz graficky náročných aplikací v cloudu zajímal, zaregistrujte se na webinář, který máme na toto téma připravený. 

Chcete si vyzkoušet, jak vám pomůže
Azure Virtual Desktop?

 
Dejte nám na sebe kontakt a my vám pomůžeme s nasazením Azure Virtual Desktop i ve Vaší společnosti.

Mám zájem o více informací k Azure Virtual Desktop.


Serverové prostředí v cloudu

Ať už jste firma, která již využívá nějaké cloudové služby (například Office 365) nebo jste firma, která o cloudu uvažuje z důvodů uvedených v článku Proč zvažovat cloud, je nutné se zamyslet and tím, jaký model serverového prostředí v cloudu pro Vás bude nejvíce výhodný. Toho dosáhne Pomocí procesu popsaném v tomto cyklu. U implementací dodržujeme následující postup:

  1. Analýza před migrací do cloudupři které zajistíme zmapování stávajícího prostředí a navrhneme způsob řešení. Výstupem naalýzy je doporučení postupu migrace, limity Vaší infrastruktury, popřípadě navržení hybridního řešení, při kterém doporučíme některé stávající servery nechat v původním prostředí, ale umožníme Vám je spravovat z jedné cenrální konzole. Nebo doporučení náhrady součástí stávající infrastruktury cloudovými službami nebo platformami.
  2. Proof of Concept, který má za cíl Vám ukázat, že Vaše pracovní nápň bude přechodem do cloudu obohacena a vylepšena
  3. Migrace, během které celý migrační process otetujeme a následně provedeme přesun Vaší pracovní náplně do cloudu
  4. Finalizace migrace a optimalizace prostředí, která obnáší zapnutí monitoringu a následné vyhodnocení potřebného výkonu IaaS infrastruktury, spustí se nástroje pro zajištění bezpečnosti spolu s upozorněními na nedostatečné kapacity infrastruktury / bezpečnostní rizika.
  5. Servisní smlouva, pomocí které si zajistíte naši technickou podporu, včetně přehledu aktuálních novinek, vstup do naší dokumentace vytvořené pouze pro Vás, nově vzniklých bezpečnostních rizik a nebo Vám poskytujeme celkový monitoring Vašeho nově vzniklého, cloudového prostředí.

Chcete se pobavit na téma Microsoft Azure?

 
Dejte nám na sebe kontakt a my Vám následně pomůžeme navrhnout cloudové prostředí podle Vašich potřeb.

Mám zájem o více informací k Azure.


Analýza před migrací do cloudu

Pro zajištění erudovaného a místného odhadu pracnosti migrace a nákladů na provoz infrastruktury v Azure je nutné zmonitorovat její nynější stav, stávající licenční poměry a to, jak správně olicencovat cílový stav. Po zajištění patříčných přístupů pro vykonavatele je na pořadu projektu vykonání základních administrativních záležitostí:

  • Tvorba Azure tenantu
  • Prostředí pro Azure Migrate
  • Zajištění konektivity mezi výchozím datacentrem a prostředím Microsoft Azure
  • Zajištění prostupu migračního doménového účtu do všech serverů, které jsou součástí migrovaného celku pod právem doménového administrátora
  • Instalace Azure Migrate Appliance serveru (Optimálně 4 vCPU a 16GB RAM, Windows server 2019), který zajistí možnost monitoringu síťové komunikace, aplikací a portů, které jsou pro ni vytvořeny.

Analytická část projektu se skládá z pravidelných schůzek zadavatele a vykonavatele, v rámci kterých se probírá aktuální postup projektu. Optimální délka sběru dat je 1 měsíc. Za tuto dobu nakomulujeme data o valné většině síťové komunikace se servery podrobené analýze, včetně jejich průměrného vytížení. Tato data se sbírají na základě cyklické kontroly serverů přímo pomocí Azure Migrate Appliance serveru (každých 10 sekund) s minimálním dopadem na aktuální funkčnost serverů. Azure Migrate nám umožní zajistit:

  • Stávající informace o serverech
    • Vytíženost CPU, paměti (% využití)
    • Zátěž disků (R/W OPS [j], průměrnou rychlost přenosu [MBPS])
  • Jejich postavení a pracovní náplň v síti
    • Průměrnou rychlost datových přenosů serverů v rámci sítě [MBPS]
    • Porty, služby, aplikace a počáteční / koncové body síťové komunikace
  • Fakt, jestli jsou stroje připraveny / vhodné pro migraci do Azure. Kritérium vyhodnoceno na základě kumulace dat pomocí appliance. V případě serverové migrace poskytuje základní diagnostiku aplikací a výkonu stroje. V případě migrací SQL databází vyhodnocuje i možnost migrace do DBaaS či PaaS.
  • Možnost replikace strojů do prostředí Azure. Zajištění pomocí inkrmentální migrace do prostředí Azure s možností vypnutí on-premise strojů v momentě, kdy proběhne replika 1:1

Výstupem analýzy je přehled síťové komunikace, optimální nadimenzování serverů (úrovně strojů, rychlost disků) a jejich zasazení do prostředí Microsoft Azure. Algoritmus doporučovaného postupu a možnosti integrace budoucí infrastruktury s dalšími SaaS součástmi organizace (především integrace s Microsoft 365) a v neposlední řadě i cenová nabídka pro migraci a provoz prostředků v cloudovém prostředí.

Obrázek 1, Příklad grafu síťové komunikace, vytvořený pomocí dat z Azure Migrate Appliance a vizualizace v PowerBI

 

Obrázek 2, Sestava PoweBI, ve které komparujeme cenovou náročnost různých posouzení z Azure Migrate Appliance

V rámci analýzy jsme schopni navíc poskytnout Proof of Concept (PoC), který bereme jako další výstup z naší práce. Na této ukázce dokážeme funkcionalitu prostředí Microsoft Azure na části infrastruktury, kterou prokonzultujeme se zadavatelem v rámci analytických schůzek.

V rámci migrace do PoC prostředí jsme schopni vyzkoušet funkčnost aplikací v Azure, jejich responzivitu mimo a uvnitř cloud, rychlost přenosu serverů, na základě čehož jsme pak schopni spočítat celkovou časovou náročnost migrace nebo doporučení navýšení linky na čas migrace.

 

Chcete se pobavit na téma Microsoft Azure?

 
Dejte nám na sebe kontakt a my Vám následně pomůžeme navrhnout cloudové prostředí podle Vašich potřeb.

Mám zájem o více informací k Azure.


Proof of Concept migrace do Azure

Pro test a ukázku funkčnosti a rychlosti migrace zreplikujeme jeden z file / aplikačních serverů a pomocí technologie Azure Virtual Desktop následně porovnáme konektivitu v rámci Azure datacentra vs. konektivitu Azure -> On-premises a obráceně.

Obrázek 1, mustrový náhled architektury PoC

Postup

Pro zajištění možnosti replikace serveru jsme musíme zajistit v Azure následující prostředky:

  • Azure Service Bus – Pomocí tohoto nástroje komunikuje Azure Migration Appliance s Azurem a dodává mu informace o stavu projektu
  • Gateway Storage Account – Místo, kam se ukládají informace o replikaci, získané pomocí služby Azure Service Bus
  • Log Storage Account – Během migrace ještě stále podnikáme kroky k tomu, abychom adaptivně monitorovali datové přesuny. Ty se sbírají právě do této služby.
  • Key Vault – Zabezpečovací faktor celého replikačního cyklu, který rotuje připojovací řetězce a client secrets všech replikovaných strojů a prostředků uvedených výše.

Pro zajištění konektivity k on-premises prostředí je potřeba povolit zprovoznit komunikaci mezi současnou infrestrukturou a prostředím Azure. Ať už pomocí Express Route v případě větších migrací nebo Site to Site VPN v případě obvyklých migrací. Dále nastavíme v Azure DNS porty, abychom byli schopni registrovat testovací stroje do domény, port 445 pro zajištění možnosti souborových přenosů – vzhledem k tomu, že většina aplikací na této bázi komunikuje s klientskými stanicemi, nesmíme opomenout ani port 912, kterým komunikuje Azure Migrate Appliance z On-Premises prostředí s Azurem.

V rámci další fáze spustíme pomocí replikačního procesu Azure Migrate Appliance testovací migraci, pro exaktní kalkulaci rychlosti migrace. Stroj následně, abychom nenarušili běh serveru, který jsme replikovali, spustíme nejdříve v prostředí virtuální sítě, která není dosažitelná z původního řešení a provedeme na něm Sysprep, abychom jej mohli nasadit bez ohrožení dostupnosti původního serveru. V rámci spuštění Sysprepu jsme z něj vytvoříme mustrový image pro Azure virtuální stroj a nasadíme jsme jej do sítě, která má již přímou vazbu na původní prostředí. Server jsme přejmenujeme, přidáme jej do domény, pokud existuje, přenastavíme v prostředí AVD aplikace na to, aby se dívaly pro data na kopii serveru v Azure a vyhodnocujeme situaci z pohledu výkonu AVD, rychlosti přenosu souborů i funkcionality spolu s doménovými politikami. Vzhledem k tomu, že jak AVD, tak Azure instance replikovaného serveru, byly v blízké proximitě.

V rámci PoC zároveň projdeme základní možnosti logování a sledování serverů jak výchozího, tak cloudového prostředí. Všechny prostředky nasazujeme spolu s Vámi, tudíž jsme schopni zadavatele i vzdělat v oblasti správy prostředí Microsoft Azure alespoň na obecné rovině.

Po vykonání PoC postoupí Vám předáme výstupní dokument z analytické a PoC části, ve které Vás seznámíme s naším doporučovaným postupem, plánem migrace a konkrétními náklady. Poté už přichází fáze migrace.

 

Chcete se pobavit na téma Microsoft Azure?

 
Dejte nám na sebe kontakt a my Vám následně pomůžeme navrhnout cloudové prostředí podle Vašich potřeb.

Mám zájem o více informací k Azure.


Migrace do Azure

Na základě výstupů z analýzy bude existovat koncept migračního procesu, který zpravidla rozdělujeme do čtyř částí:

  • Tvorba cílového prostředí Azure, ve kterém definujeme vhodné rozsahy sítí, Nastavíme Propojení se zbytkem infrastruktury, stanovíme vhodnou konvenci pro rozdělení a označení serverů a zbytků skupin prostředků.
  • Migrace zbytku serverů, podle jejich aplikační náročnosti
  • Odříznutí S2S VPN s výchozím bodem migrace

V průběhu migrace již postupně připravujeme adopci služeb v modu IaaS (Infrastructure as a Service) ve výchozím stavu, které jsme vyhodnotili v analytické části jako nahraditelné pomocí SaaS (Software as a Service). V této části projektu také pracujeme s Vašimi dodavateli služeb na možnosti unifikace Vašich uživatelských identit, pomocí technologie AAD SSO (Azure Active Directory Single Sign on), která nejen že zvýší bezpečnost Vašeho ekosystému, ale zároveň značně zpříjemní uživatelům jejich dosavadní práci.

Pro migraci jsme schopni zvolit několik způsobů:

  • Lift and shift (Tedy replikace stávajícího prostředí 1:1)
  • Hybridní režim, kdy se využívají prostředky z místa původu a cloudu zároveň
  • Využití Azure pro spojení multicloudového prostředí pomocí technologie Azure Arc

Migrace prostředků do Azure proběhne ve dvou různých krocích. V migraci IaaS do IaaS a IaaS do PaaS nebo SaaS. Před tím, než migraci spustíme, vytvoříme Log Analytics Workspace produkčního prostředí, do kterého budeme sbírat veškerá data z prostředí.

Prvním bodem migrace bude povýšení stávajícího plánu VPN S2S připojení, vytvoření doménového řadiče v Azure, vybudování DNS lokality v Azure, založení firewallu v Azure. V Active Directory vytvoříme Active Directory Site, kterou nazveme Azure a zahrnujeme do ní všechny objekty IP rozsahy, které se v Azure budou nacházet, spolu s definicí toho, že se mají ověřovat vůči AD serveru v Azure. Následně začneme s migrací na základě postupu definovaného v analýze a testovaného v rámci Proof of Concept.

Následným krokem pro zajištění správně provedené migrace je její finalizace.

 

Chcete se pobavit na téma Microsoft Azure?

 
Dejte nám na sebe kontakt a my Vám následně pomůžeme navrhnout cloudové prostředí podle Vašich potřeb.

Mám zájem o více informací k Azure.


Finalizace migrace do Azure

Během poslední etapy projektu se budeme soustředit na konsolidaci nového prostředí a proškolení administrátorů ohledně best practices v Azure Cloudu. Stabilizace konvence, pravidelné kontroly a automatizace jsou velikou předností prostředí Microsoft Azure. Předpokladem úspěchu a budoucí spokojenosti zákazníků je nasazení bezpečného, přehledného a reaktivního prostředí. V rámci poslední fáze projektu můžeme využít následující služby:

  • Azure Backup
    Umožní zálohy napříč kontinenty v případě lokálních výpadků na úrovni datacenter
  • Azure Monitoring
    Za koexistence s prostředím pro sběr dat (Azure LogAnalyticsWorkspace) zajišťuje možnost sběru dat o každé součásti, která je vázána na Azure. Pomocí tohoto nástroje jsme schopni vytvářet intuitivně přehledy vytížení jednotlivých strojů, databází, služeb a webových prostředí.
  • Azure Locks a Azure Policies
    Tyto služby využíváme pro zajištění ochrany vůči nechtěným překlepům ze strany administrátorů. Ať už v podobě zamykání prostředků proti smazání (Azure Locks) nebo proti nasazování prostředků do části infrastruktury, kam nepatří (Azure Policies)
  • Azure Tags
    Azure Tags jsou využívány jak k zjednodušení filtrování prostředků v Azure, tak pro zajištění perfektního reportingu ohledně nákladů na rozličné části prostředí.

Obrázek 1, Využití Azure Tags na produkčním prostředí

Azure Access Control (IAM)

Pro zajištění přístupů uživatelů do správcovské konzole Azure Využijeme právě tuto možnost, neboť nám umožní povolit uživatelům i jiné formy administrace než přes administrátora celého prostředku. Ideálním příkladem je sada developerských serverů, které si developer sám zapíná / vypíná. Pro tento účel mu můžeme povolit na skupině prostředků, kde se stroje budou nacházet možnost k zapínání a vypínání virtuálních strojů. Vývojář bude poté mít pouze přístup, který potřebuje (Bezpečnost), ale zároveň není závislý na tom, že se o management těchto strojů staral někdo jiný a on na něj musel čekat v případě, že chce něco testovat (Uživatelská svoboda).

Azure Firewall
V prostředí Azure se dá kontrolovat přístup do Infrastruktury hned několika způsoby. Vzhledem k tomu, že bezpečnost jako taková je oblast, ve které je potřeba přemýšlet ve vrstvách (Každá překážka navíc je pro potenciálního útočníka o to nepříjemnější.), doporučujeme pro zákazníky, kteří využívají služeb Azure bez On-Premises licencovaného a udržovaného firewallu od Fortinetu nebo Cisca, právě využítí služby Azure Firewall, která je velice solidní náhradou zmiňovaných řešení a umožní nám mimo standardní funkcionalitu firewallu i sbírat diagnostická data, která se pak promítnou v doporučeních pro zvýšení bezpečnosti v Azure pomocí robustní umělé inteligence a IoT, které Azure poskytuje.

Azure Security Center
Služba, která funguje jako přehledový dashboard zabezpečení, ve které naleznete základní proaktivní doporučení, podle kterých můžete infrastrukturu ještě víc zabezpečit. Pomocí diagnostickým nastavením, které provedeme pomocí nastavení Azure LogAnalyticsWorkspace nad každým stěžejním strojem, jej propojíme s tímto diagnostickým souhrnem a pomocí diagnostiky jsme schopni lépe předcházet potenciálním potížím.

Obrázek 2, přehledová tabulka Azure Security centra

Azure Defender
Možnost rozšíření bezpečnosti přímo na prostředky infrastruktury vyšší úrovně, Azure Defender je placená varianta Azure Security Centra, která stojí 13€ za virtuální stoj, na kterém je spuštěna. Ve většině případů je vhodné mít tuto službu nasazenu na všech strojích. Funguje principielně podobně jako antivirus, akorát zasahuje hlouběji v tom ohledu, že je schopna monitorovat nežádoucí procesy. Na základě běhu strojů nejdříve analyzuje, jaké procesy jsou pro běh aplikací potřebné a po fázi učení je schopen aktivně reportovat neshody s nastavením. Samozřejmě se nové workloady do strojů zadat tak, aby je pak služba sama neodstřihla. Mimo ochranu prostředků zajišťuje i službu Azure JIT (Just In Time), která umožňuje adaptivní otevírání portů pro specifikované identity, nebo skupiny (Pro příklad, uživatel, který je součástí skupiny, na kterou je JIT uplatněno pro server dev01 se může připojit na RDP tak, že zapne RDP session a JIT v tu chvíli na stroji povolí port 3389 z IP adresy identity, která se hlásí o přístup, po jejím odpojení zase IP adresu z access listu odebírá.). Tím se vyhneme IP spoofingu se stanovenými IP adresami   pro přístup a zabezpečíme infrastrukturu o to více.

Obrázek 3, Dashboard Azure Defenderu

Azure Sentinel
SIEM (Security Information and Event Management) v prostředí Microsoft Azure, poskytovaný jako služba (SaaS). Azure sentinel funguje jako automatický orchestrátor bezpečnostních opatření. Na základě umělé inteligence kouká na celé prostředí Microsoft 365 a Azure ptačí optikou a podniká kroky k zajištění bezpečnosti v organizaci. Sentinel je možno navázat na téměř každou službu, která generuje log data, ze kterýchbychom mohli potenciálně odhalit nežádoucí aktivitu ve Vašem firemním prostředí.

Obrázek 4, popis Azure Sentinelu

O všech zmíněných bezpečnostních technoligiích se dozvíte více ze záznamu našeho nedávného webináře Dejte Azure šanci.

 

Chcete se pobavit na téma Microsoft Azure?

 
Dejte nám na sebe kontakt a my Vám následně pomůžeme navrhnout cloudové prostředí podle Vašich potřeb.

Mám zájem o více informací k Azure.


Azure Cosmos DB: výkonná a škálovatelná databáze pro vaše aplikace

Současný svět putuje rychlým tempem, a ne nadarmo se říká, že čas jsou peníze. Proto by každá firma a organizace měla myslet na to, že jakýkoliv výpadek infrastruktury či interních systémů může být kritický a přinejmenším znamená zpoždění dodávek zboží a nespokojenost zákazníků i zaměstnanců. V cloudovém prostředí Microsoft Azure můžete provozovat databáze libovolného druhu. Jednou ze služeb, která k těmto účelům slouží, je Azure Cosmos DB. Pojďme si ji blíže představit.

NoSQL databáze s výhodami cloudového světa

Azure Cosmos DB je nerelační NoSQL databáze umístěná v cloudu vhodná pro různorodá řešení. Co to znamená a jaké jsou její výhody?

  • cenová výhodnost
  • nemusíte řešit provoz a údržbu fyzických serverů
  • nízká latence (okamžité řešení požadavků)
  • 99.9% garance dostupnosti
  • škálovatelnost a dostupnost napříč celým světem

Cosmos DB najde skvělé využití třeba v retailovém odvětví. Co vše je potřeba řešit a spravovat na typickém e-shopu? Odpovědět není složité: katalog zboží, zákaznické účty, reklamace, sledování objednávek, zkrátka velké množství dat, i s těmito záležitostmi si lze snadno poradit a spravovat je v bezpečném cloudovém prostředí. Dalším případem mohou být aplikace, ať už mobilní, pro počítače nebo webové, které přistupují k databázi s uživatelskými daty, či IoT řešení (využití čidel v parkovacím domě pro sledování stavu naplněnosti, typech vozidel apod.)

Operujete na mezinárodních trzích? Žádný problém. Databáze v Azure Cosmos DB se umí replikovat napříč světovými regiony, a tak můžete zajistit co nejrychlejší dostupnost. Celé řešení je tak flexibilní, že pokud například na jednom kontinentě spustíte pro zákazníky velkou prodejní akci, Azure automaticky přizpůsobí výkon a prostředky tak, aby nedošlo ke zpomalení, výpadkům a nápor objednávek jste tak zvládli na jedničku.

Možnosti analýz jsou široké a můžete je provádět přímo v reálném čase za pomocí umělé inteligence, a dokonce bez snížení výkonu. S Cosmos DB jednoduše spolupracuje služba Azure Synapse Analytics, která nabízí neomezené analýzy s obrovskou rychlostí.

Na Cosmos DB se spoléhají jak menší společnosti, tak velké světové značky jako Coca-Cola, Symantec, Mercedes, 3M a mnoho dalších.

 

Integrace se známými API a snadný vývoj aplikací

Cosmos DB si rozumí s různými API pro NoSQL databáze, ať už jde o Apache Cassandra, MongoDB, Apache Spark, ETCD nebo Table API (služby Azure Table), tím však výčet zdaleka nekončí a podpora se stále rozšiřuje. Stejně tak jsou k dispozici SDK pro několik programovacích jazyků vč. Javy, Pythonu, .NET, Node.js, JavaScriptu a dalších.

 

Zoptimalizujte své databáze ještě dnes

K dispozici je zkušební verze Cosmos DB, v rámci které můžete vyzkoušet vše, co obnáší, pouze s limitací na max. 400 RU/s (request unit per second = požadavek za vteřinu) a 5GB úložiště pro databáze. Platíte pouze, pokud tento limit přesáhnete.

 

Chcete se pobavit na téma Microsoft Azure?

 
Dejte nám na sebe kontakt a my Vám následně pomůžeme navrhnout cloudové prostředí podle Vašich potřeb.

Mám zájem o více informací k Azure.


Microsoft Intune: ucelená správa firemních zařízení

Výpočetní technika je dnes nedílnou součástí snad každé firmy. Ať už jde o malý podnik, větší firmu nebo korporaci, počítač se stal vybavením v nemálo případech nutným k práci. S příchodem notebooků, tabletů a chytrých telefonů je však pro zaměstnavatele složitější mít kontrolu a přehled nad zařízeními, která zaměstnanci používají, nemluvě o možné krádeži, kdy se mohou dostat do špatných rukou, nebo nebezpečné aktivitě přímo ze strany zaměstnance. Neméně podstatnou otázkou je také aktuálnost systému, bezpečnější přihlášení nebo snazší uvedení nových zařízení v provoz (Windows Autopilot). Se všemi těmito problémy ovlivňujícími efektivitu vašeho IT vám pomůže Microsoft Intune, moderní řešení pro správu firemního IT.

Součást Microsoft Endpoint Manageru

Služba Intune je jedním z prvků platformy Microsoft Endpoint Manager, integrovaného nástroje pro správu koncových bodů (počítač, telefon, tablet…) nezávisle na operačním systému, na kterém běžejí. Intune jako takový je cloudové řešení pro správu počítačů s Windows 10 nebo Mac a mobilních zařízení se systémy iOS nebo Android.

Co dalšího vedle Intunu nabízí Endpoint Manager?

  • Configuration Manager (dříve System Center Configuration Manager) – on-premise (lokální) řešení pro správu počítačů a serverů v síti. Propojením s Microsoft Intune a dalšími součástmi Microsoft 365 můžete administrátorské úkony provádět efektivněji a využívat cloudových služeb jako bezpečnostním řešením Microsoft Defender ATP, Azure Active Directory a dalšími.
  • Windows Autopilot – instalace a nastavení počítačů pro nové zaměstnance už nemusí znamenat čas ztracený „odklikáváním“, Autopilot se umí kompletně postarat o prvotní konfiguraci Windows včetně instalace potřebných programů, nastavení omezení, politik a připojení do domény ve firemní síti.
  • Azure Active Directory – představuje nejen databázi uživatelů, skupin a zaregistrovaných zařízení, ale také řešení pro podmíněný přístup nebo dvoufaktorové ověřování, díky čemuž podstatně snížíte riziko neoprávněného přístupu k interním dokumentům, aplikacím a dalším prostředkům.
  • Desktop Analytics – tato služba analyzuje stav aktualizací a aplikací na zařízeních, upozorňuje na problémy a navrhuje jejich řešení. Zároveň je v ní možné vytvářet plány nasazení (deployment plans), takže např. upgrade velkého počtu firemních zařízení si můžete připravit do posledního detailu.

 

Aktualizace, aplikace, předpisy ale i hardware pod palcem

Konfigurace a správa zařízení se provádí v přehledném portálu ve webovém prohlížeči. Administrátor v něm může pracovat nezávisle na lokaci, protože veškerá nastavení jsou uložená v cloudu (a nepotřebuje se připojovat přes VPN).

Pro každé zařízení se ukládají detailní informace o verzi operačního systému, nainstalovaných aplikacích a hardwaru (model, sériové číslo, velikost místa na disku atd.), což kupříkladu ušetří mnoho úsilí při zjišťování podrobnějších informací pro servis při poruše notebooku zaměstnance.

Dále lze nastavovat různé zásady od hesel na Wi-Fi, parametrů pro heslo či nastavení tiskáren (instalaci během pár kliknutí provedete pro všechny firemní počítače) až po složitější politiky, které omezují přístup či změny nastavení systému a mnoho dalšího. Zkrátka řečeno, možností, jak nakonfigurovat každé zařízení, je nespočet – a to samé platí pro aplikace.

Zároveň je možné snadno kontrolovat, zda zařízení stanovené předpisy dodržuje.

 

Důraz na zabezpečení

Jak už jsme zmínili, ani bezpečnost není opomínána. V Intunu můžete řešit antivirovou ochranu (Defender for Endpoint), uplatňovat pravidla zamezující úniku citlivých dat mimo firmu (data loss prevention), jako např. kopírování informací do schránky nebo na USB flashdisk, i mobilní telefony lze ochránit prostřednictvím MDM (mobile device management) a zajistit, aby se případný zloděj nemohl dostat k žádným datům dostat, dokonce je možné je i na dálku vymazat.

Zvláštní pozornost stojí též věnovat BitLockeru, nástroji pro šifrování úložiště. Ani dnes není složité typicky z odcizeného notebooku vymontovat pevný disk, zapojit jej do jiného počítače jako „flešku“ a získat z něj data, v těchto případech ani silné heslo do systému nepomůže. Když ale disk bude zašifrovaný, je doslova nedobytný – a „rozlousknout“ dešifrovací kód by trvalo věčnost.

 

V cloudu naplno anebo kombinovaně

Ať už chcete využít příležitosti spravovat maximum záležitostí z cloudu nebo nadále některé úkony provádět on-premise, Microsoft Endpoint Manager představuje flexibilní řešení pro malé, střední i velké podniky. Napojení lokálního Configuration Manageru probíhá prostřednictvím průvodce, nejde tedy o nic komplikovaného a je jen na vás, jak si nastavíte co-management (společnou správu). Nasazení podnikových aplikací, compliance policies (dodržování předpisů) či správu aktualizací z Windows Update kupříkladu můžete ponechat v Configuration Manageru, zatímco do Intune přesunete správu aplikací Microsoft Office, podmíněné přístupy k interním datům, konfiguraci zařízení nebo jejich zabezpečení.

 

Začněte spravovat firemní zařízení v cloudu už dnes

Současná doba klade nároky na mobilitu a flexibilitu, což často není výjimkou ani u administrátorů. Služba Intune spolu s dalšími součástmi Microsoft Endpoint Manageru představuje komplexní nástroj pro konfiguraci, správu a údržbu zařízení, softwaru, aktualizací, zabezpečení a omezení. Není tak třeba využívat pro konkrétní účely více programů od různých výrobců – ostatně, jak je známo, méně je někdy více. Díky propojení s cloudovými službami má vaše IT oddělení příležitost řešit více problémů odkudkoliv a kdykoliv.

 

Chcete si vyzkoušet se pobavit na téma Mobile Device Management (MDM) / Mobile Application Management (MAM)?

 
Dejte nám na sebe kontakt, abychom spolu mohli prodiskutovat možnosti nasazení MDM/MAM ve Vaší firmě.

Mám zájem o více informací k MDM/MAM.