-
Подписаться на канал ►►► http://bit.ly/iwalker2000_subs
-
Мой LinkedIn ►►► https://www.linkedin.com/in/iwalker2000/
-
Подготовка к AZ-900 ►►► http://bit.ly/Exam-Az-900
-
Открытое собеседование Azure admin ►►► https://youtu.be/eE-6AA3Cm6Q
-
Как стать системным администратором ►►► http://bit.ly/ITProSysAdmin
-
ИТ карьера – что для этого нужно ►►► http://bit.ly/ITcarriera_
-
Про производительность дисков ►►► http://bit.ly/Disk_perf_p01
Azure Storage Attribute-based Access Control (ABAC) для Azure Storage
В Azure в пока в режиме превью появилась очень интересная новая функция по контролю за доступом к данным в блобах Azure Storage на основе аттрибутов этих самых блобов или параметров операции – Azure Storage Attribute-based Access Control (ABAC) – https://azure.microsoft.com/en-us/updates/azure-storage-abac-preview/ . Принцип работы такой функции очень даже простой – для какого-то хранилища через AIM и роль типа Storage Blob Data Reader/Storage Blob Data Owner мы делигируем права работы с контейнерами для определенного пользователя Azure AD. НО! При этом добавляются дополнительные ограничения для данной делегации, которые описывают, какая операция (Read, Write, Create, Delete) с какими условиями (наличие тега и его определенного значения, имя контейнера, имя аккаунта, путь к конкретному блобу) может быть выполнена.
Обзор новой функции в Azure – доступ к Azure Storage Account с Attribute-based Access Control (ABAC)
Таким образом возможности роли в целом могут быть серьезно ограничены с применением условий ABAC, что делает доступ к блобам в конкретном контейнере хранилища очень гранулированным. Так, в приведенных примерах можно увидеть различные сценарии:
-
использование роли Storage Blob Data Reader с условиями ABAC, при которых участник данной роли будет иметь права на чтение только тех блобов в контейнерах Azure Storage Account, которые имеют тег user со значением igorsh -
использование роли Storage Blob Data Owner, которая при этом ограничена на создание новых/запись в существующие блобы только если в запросе присутствует тот же тег user со значением igorsh (таким образом – пользователь создает только те блобы, которые после может сам и читать)
-
и сценарий с аттрибутами контейнеров – та же роль Storage Blob Data Owner модифицирована при помощи условий ABAC и пользователи не могут выполнять операции модификации/удаления блобов в определенных контейнерах.
В целом – новая функция Azure Storage Attribute-based Access Control (ABAC) в режиме превью работает нормально, единственные моменты, которые следует учитывать – это небольшие задержки при добавлении/изменении тегов или других аттрибутов – они должны быть проиндексированны, а также – применение самих условий, которые ограничивают операцию – иногда для этого требуется несколько минут. Кроме того, если вы планируете самостоятельно “поиграться” с новым превью Azure Storage Attribute-based Access Control (ABAC) – помните, что для активации данной новой функции требуется предварительно зарегистрировать модуль BlobIndex для провайдера Microsoft.Storage в той подписке Azure, которую вы планируете использовать, как тестовую. Это можно выполнить непосредственно из консоли Cloud Shell, которая доступна в портале Azure, следующими командами:
* Для PowerShell:
Register-AzProviderFeature -FeatureName BlobIndex -ProviderNamespace Microsoft.Storage
Register-AzResourceProvider -ProviderNamespace Microsoft.Storage
* Для Azure CLI:
az feature register –namespace Microsoft.Storage –name BlobIndex
az provider register –namespace ‘Microsoft.Storage’
и один важный момент здесь – регистрация модуля может занимать 5-10 минут, потому не торопитесь сразу “кидаться в бой” и начинать тестировать – проверьте сначала статус регистрации модуля BlobIndex командой
Get-AzProviderFeature -FeatureName BlobIndex -ProviderNamespace Microsoft.Storage – статус должен быть RegisterED 🙂
И ждем уже глобальной продуктовой доступности функции Azure Storage Attribute-based Access Control (ABAC) – уж очень она полезная и решает многие вопросы, которые поднимали различные пользователи насчет гранулярного управления доступом для разных пользователей к блобам в одном или нескольких контейнерах одной Azure Storage Account.
Обновление Azure VPN Gateway – новое в P2S VPN, BGP, мониторинге VPN
Обзор обновлений очень важного компонента практически любой Azure инфраструктуры – сервиса Azure Virtual Network Gateway (Azure VPN Gateway). Его существенно переработали как с точки зрения удобства эксплуатации и мониторинга, так и поменяли некоторые концептуальные моменты работы, которые могут повлиять на архитектуру в целом (по крайней мере я знаю несколько своих заказчиков, которых подобные изменения в работе обрадуют тем, что серьезно упростят архитектуру для них) – так что всем, кто занимается инфраструктурой в Azure – рекомендую присмотреться к этому обновлению Azure VPN Gateway повнимательнее.
Итак, о каких обновлениях Azure VPN Gateway идет речь (более подробно – по ссылкам здесь – https://azure.microsoft.com/en-us/updates/general-availability-multiple-new-features-for-azure-vpn-gateway/ – и, конечно же, в данном видео):
Обзор новых функций в Azure – обновление Azure VPN Gateway – новое в P2S VPN, BGP, мониторинге VPN
* Мониторинг и управление соединениями. Во-первых, к имеющейся опции Reset всего VPN Gateway добавлена (наконец-то) функция Reset отдельного S2S VPN соединения, что существенно упрощает обслуживание VPN Gateway, особенно когда речь идет о множественных S2S VPN. Во-вторых – сбор именно VPN пакетов (не трафика), что позволяет достаточно просто устранять проблемы с установкой S2S VPN со сторонними устройствами. Кстати, Azure VPN Gateway записывает трафик в виде .pcap пакетов, а далее – Wireshark и знание IKE вам в помощь. В-третьих – теперь можно по одному клику получить Security Association для S2S VPN соединения – опять-таки, для устранения неполадок в соединения.
* Мониторинг и визуализация трафика и соединений BGP протокола – тут, по-моему, не требуется комментариев – такую фичу надо было сделать еще пару лет назад минимум.
* И, наконец – серьезные изменения в P2S VPN – теперь поддерживается сразу несколько типов аутентификации, что позволяет теперь обходиться одним экземпляром VPN Gateway вместо того, чтобы отдельно держать экземпляр VPN Gateway для P2S VPN с Azure AD аутентификацией и отдельно экземпляр VPN Gateway для P2S VPN с аутентификацией с использованием сертификатов – чаще всего такой сценарий требовался, чтобы поддерживать клиентов MacOS X, которые не умели работать с OpenVPN и Azure AD. И здесь еще одна хорошая новость – параллельно с совместным использованием нескольких типов аутентификации для P2S VPN в Azure VPN Gateway – Microsoft в режиме превью (и доступным только в США) выпустила отдельного клиента Azure VPN Gateway для MacOS X с поддержкой OpenVPN и Azure AD. Так что ожидаем серьезных упрощений инфраструктуры и поддержки клиентов без заморочек с поддержкой сертификатов. Подробнее про обновления P2S клиента Azure VPN Gateway для Mac здесь – https://azure.microsoft.com/en-us/updates/public-preview-of-azure-vpn-client-for-macos/ и https://docs.microsoft.com/en-us/azure/vpn-gateway/openvpn-azure-ad-client-mac
Azure BASTION поддерживает работу с ВМ в других VNet через peering
В данном случае речь идет про небольшое обновление функциональности Azure BASTION, которое теперь позволяет развертывать один экземпляр BASTION в центральной HUB VNET и далее получать удаленный доступ через RDP/SSH к виртуальным машинам, которые находятся в SPOKE VNET и эти виртуальные сети подключены к основной HUB VNET через Azure VNET Peering, если это разрешено локальными NSG конечной VNET. Таким образом, поскольку не требуется иметь Azure Bastion в каждой VNET – решается сразу несколько важных задач оптимизации обслуживания и стоимости сервисов удаленного доступа RDP/SSH к инфраструктуре виртуальных машин в Azure. Кроме сокращения количества непосредственно Azure Bastion – во многих сценариях отпадает необходимость и использования большого количества Jump Server’ов в центральном хабе – что тоже положительным образом влияет на стоимость и управляемость сети. Единственное, что пока еще недоступно для работы через Azure Bastion – это возможность RDP/SSH подключения через Bastion и использованием учетных записей Azure AD – в настоящий момент Bastion позволяет залогиниться только с локальной учетной записью ВМ, но, насколько я знаю – над этим также работают.
Если вы не знакомы с концепцией Azure Bastion для защиты публичных подключений RDP/SSH виртуальных машин – рекомендую посмотреть поближе на основные возможности Azure Bastion:
Обзор новых функций в Azure – Azure BASTION поддерживает работу с ВМ в других VNet через peering
* RDP и SSH прямо на портале Azure: Вы можете напрямую перейти к сеансу RDP и SSH прямо на портале Azure, используя один щелчок для совместной работы.
* Удаленный сеанс по протоколу TLS и обход брандмауэра для RDP и SSH: Бастион Azure использует веб-клиент на основе HTML5, который автоматически передается на локальное устройство, поэтому сеанс RDP и SSH по протоколу TLS через порт 443 позволяет безопасно обходить корпоративные брандмауэры.
* На виртуальной машине Azure не требуется общедоступный IP-адрес: Бастион Azure открывает подключение RDP и SSH к вашей виртуальной машине Azure, используя частный IP-адрес на виртуальной машине. На вашей виртуальной машине не требуется общедоступный IP-адрес.
* Без лишних проблем с управлением NSG: Бастион Azure — это полностью управляемая платформа службы PaaS от Azure, которая внутреннее защищена для обеспечения надежного подключения RDP или SSH. Не нужно применять какие-либо NSG в подсети Бастиона Azure. Поскольку Бастион Azure подключается к вашим виртуальным машинам по частному IP-адресу, вы можете настроить свои NSG так, чтобы они разрешали RDP или SSH только из Бастиона Azure. Это устраняет необходимость управлять NSG каждый раз, когда необходимо безопасно подключиться к виртуальным машинам.
* Защита от сканирования портов: Поскольку вам не нужно предоставлять свои виртуальные машины в общедоступный Интернет, ваши виртуальные машины защищены от сканирования портов неавторизированными пользователями и пользователями-злоумышленниками, расположенными за пределами вашей виртуальной сети.
* Защита от эксплойтов нулевого дня. Защищает только в одном месте: Бастион Azure — это полностью управляемая платформой PaaS-служба. Поскольку он находится по периметру виртуальной сети, не стоит беспокоиться об усилении защиты каждой виртуальной машины в вашей виртуальной сети. Платформа Azure защищает от эксплойтов нулевого дня, в результате чего Бастион Azure защищен и всегда актуален для вас.
Логин в Azure VM (Windows) с использованием учетной записи Azure AD
Еженедельный обзор новинок Azure – сегодня поговорим про логин в Azure VM на Windows с использованием учетных записей из Azure AD. Кстати, если данная информация для вас полезна – поддержите серию данных обзорных видео про Azure – репост в социальных сетях, особенно в LinkedIn, и на специализированных ИТ форумах. И вернемся к новой возможности подключения к рабочему столу виртуальной машины в Azure под управлением Windows Server 2019 или Windows 10 с использованием учетной записи в Azure AD и с правами, определяемыми через RBAC Azure, а не внутри виртуальной машины, релиз которой был анонсирован в середине мая 2021 – https://docs.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows .
Обзор новых функций в Azure – логин в Azure VM (Windows) с использованием учетной записи Azure AD
Основной сценарий использования – упорядочение и оптимизация инфраструктуры виртуальных машин в Azure и способа доступа к ним, а также повышение безопасности доступа. Каким образом такой подход позволяет упростить инфраструктуру? – в первом приближении – теперь не нужно “тянуть” в Azure отдельные виртуальные машины-контроллеры домена “наземной” Active Directory, а достаточно засинхронизировать требуемые учетные записи с Azure AD, к которой и будут добавлены Azure VM, и после – делегировать учетным записям требуемые права логина (админ/пользователь) через Azure RBAC. Безопасность таких входов в инфраструктуру может быть обеспечена, во-первых, фактом того, что ПК, с которого выполняется подключение с аккаунтом Azure AD, также должен быть в соответствующем домене Azure AD, во-вторых – различными политиками условного подключения (Conditional Access) при логине в Azure AD + проверка на возможные атаки Azure AD Identity Protection + MFA.
Сам процесс активации данной функции – просто указание того, что виртуальная машина должна быть добавлена в Azure AD, при создании новой Azure VM под управлением Windows Server 2019 или Windows 10 (предыдущие Windows Server 2016/2012 не поддерживаются, Linux сейчас находится в тестировании) – и дальше, при развертывании VM, Azure сам сделает все необходимые операции по установке расширения внутрь VM, созданию сервисного аккаунта и присоединении к Azure AD. Далее, как вы поняли, остается только назначить права через RBAC.
И, конечно же, ограничения, которые следует учитывать – во-первых, это версии ОС, которые вы планируете использовать в своих Azure VM. Во-вторых – клиентские ОС, с которых вы подключаетесь к такой Azure VM через учетную запись Azure AD, также должны быть участниками того же домена Azure AD или, что актуально только для клиента на Windows 10 20H1 и выше – могут быть зарегистрированы в домене Azure AD (что существенно упрощает сценарий, кстати). В-третьих – по указанной ссылке – https://docs.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows – ознакомьтесь с требованиями к исходящим соединениям для Azure VM, которые вы планируете добавить в Azure AD и подключаться через ее учетные записи.
Так что – успешного использования новой полезной функции логина в Azure VM с учетной записью Azure AD с правами RBAC.
Смотрите другие видео, посвященные Azure, у меня на канале:
-
Windows 10 c ядром Linux (WSL2) “научилась” запускать графические GUI приложения Linux – демо WSLg – https://youtu.be/7Yz3fPuQH6k
-
Azure SALES – онлайн-семинар MUK – продажа сервисов Azure для различных сценариев кибербезопасности – https://youtu.be/YF7yKgCVLAA
-
Azure AZ-900 – онлайн-семинар MUK – обзор Azure Automation, Monitor, Log Analytics, Logic Apps – https://youtu.be/a6VGeDUNYt4
-
Закон Мерфи для кода или автоматическое копирование файлов между Azure Storage с Azure Logic Apps – https://youtu.be/jvWX6V92aCQ
-
Azure Global AI Bootcamp (UAE) – рус.версия по Cognitive services с PowerShell, Functions, Logic Apps – https://youtu.be/7J4veWZqtpY
-
Что такое облачные технологии и подготовка к экзамену Microsoft AZ-900 Azure Fundamentals – http://bit.ly/Exam-Az-900