Search This Blog

samedi 22 juin 2019

Azure Bastion - Public Preview


Bonjour à tous,

Nous allons aujourd’hui traiter un nouveau sujet :  Azure Bastion. C’est un service très prometteur qui vient de sortir et qui est disponible en public Preview.

Le 18 juin 2019, les équipes Azure annoncent la sortie d'Azure Bastion.



Ce service est en preview et accessible depuis le portail preview d’Azure. Il est important de rappeler qu’il n’est pas conseillé de déployer Azure Bastion sur vos tenants de production, et attendre la version GA qui sortira dans quelques mois. 

Si vous souhaitez tester Azure Bastion Preview, testez le uniquement sur vos environnements de LAB uniquement.

Introduction


Avant Azure Bastion,  nous avions les possibilités suivantes pour se connecter sans VPN aux machines virtuelles Azure ( Windows - Linux):

  •         La mise en place d’une zone DMZ avec un serveur de rebond (JumpBox) exposé sur le net en 3389 / 22. Grâce à ce serveur on peut ensuite rebondir et se connecter sur les machines virtuelles présentes dans le LAN du virtual network.


  •         La mise en place d’une infra bastion basée sur RDS qui est très coûteuse et très contraignante au niveau administration.


Bien entendu ici je parle dans le cas ou nous n’avons pas de VPN entre le site local et Azure, car dans ce cas, il est bien entendu possible de se connecter sur les machines virtuelles avec leur adresse ip privées au travers du VPN ( site to site ) ou alors Point to site.


Azure Bastion


Azure Baston est simplement un service PaaS qui permet l’accès aux machines virtuelles (Windows – Linux) depuis l’extérieur de manière sécurisée. 

Plus besoin d’une zone de rebond ou d’une infrastructure  bastion coûteuse, Azure Bastion va permettre aux administrateurs se connecter aux machines virtuelles Azure en un clic via du HTML5 directement depuis le portail Azure.

Il est important de noter :  Azure Bastion est déployé sur votre Virtual Network et va interagir avec les subnets internes, ceci permet  d’éviter d’avoir des adresses ip publics pour vos machines virtuelles, il évite donc l’exposition des adresses ip publics des machines virtuelles sur le net.

  
Azure Bastion Design :

Voici le fonctionnement en détail d’Azure Bastion : nous avons le service Azure Bastion qui est exposé en 443 sur le net, ce dernier est intégré au Virtual network et permet de se connecter à toutes les machines virtuelles qui sont derrière ce Virtual network avec leur adresse ip privées.

Toutes les communications entre l’administrateur ( qui se trouve à l’extérieur) et l’Azure Bastion sont chiffrées via du SSL.

Il est important de rappeler qu'aucun agent n’est nécessaire sur les machines virtuelles, tout se fait au niveau réseau entre le service Bastion et les machines virtuelle Azure.


Le déploiement d’Azure bastion se fait par virtual network et non par tenant, donc si vous avez plusieurs Virtual network, il est nécessaire de déployer Azure bastion pour chaque virtuel network.

Les avantages qu’offre Azure Bastion :
  •         Déploiement et intégration très simple
  •         Infrastructure bastion peu coûteuse
  •         Connexon en RDP et SSH en un clic depuis l’extérieur de manière sécurisée
  •         Pas d’exposition de vos machines en RDP ou SSH sur le net
  •         Possibilité d’utiliser ses propres clés SSH
  •         Connexion chiffrée (SSL)
  •         Connexion web moderne avec du HTML 5


Disponibilité du service 

Il est possible de déployer Azure Bastion sur les régions suivantes :
·        West US
·        East US
·        West Europe
·        South Central US
·        Australia East
·        Japan East


Comment je peux déployer Azure Bastion ?

Azure Bastien est disponible sur le portail Azure Preview, pour la suite de cet article, il est nécessaire d’aller sur le portail suivant :

-        http://aka.ms/BastionHost

De quelles manières je peux le déployer ?

Il y a deux façons :
  •         En créant le service Host azure Bastion depuis le marketplace Azure
  •         Depuis une machine virtuelle directement ( au niveau des paramètres)




Tarif :

Voici les tarifs que propose Microsoft. En euro pour la région Europe de l’ouest :



 En franc Suisse :



Microsoft offre 50% du tarif sur la version preview du service.

Déploiement Azure Bastion :

Avant de commencer la création et le déploiement de votre Host Azure Bastion, il est important d’enregistrer AllowBastionHost  au niveau de votre tenant Azure.

Pour cela, il est nécessaire de passer les commandes PowerShell suivantes :

#Installation du Module AzureRM
Install-Module AzureRM - AllowClobber

Set-ExecutionPolicy Unrestricted

#Import du module AzureRM

Import-Module AzureRM

#connexion en Powershell à votre tenant Azure
Connect-AzureRmAccount


#Enrollment de la fonctionnalité BAstionHost dans le provider Microsft.Network
Register-AzureRmProviderFeature -FeatureName AllowBastionHost -ProviderNamespace Microsoft.Network

#enregsitrement de votre tenant
Register-AzureRmResourceProvider -ProviderNamespace Microsoft.Network


#Vérification
Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Network


Il est possible aussi de le faire directement via votre Azure cloudshell comme ceci :






Il est aussi possible de vérifier l’enregistrement du provider Microsft.Network comme ceci :




Il est temps maintenant de créer notre host Bastion. Pour cela nous allons tout d’abord crée un subnet au niveau de notre Virtual network nommé : AzureBastionSubnet comme ceci : ( car Azure Bastion requière un subnet nommé ainsi en /27

Les caractéristiques  du subnet :
  •         Nom : AzureBastionSubnet
  •         Masque de sous-réseau : /27
  •         Ne pas appliquer de NSG dessus pour l’instant

  
Une fois le subnet AzureBastionSubnet crée, il est possible maintenant de créer notre host bastion, pour cela, depuis le portail Azure preview, cliquez sur « Create a ressource » vous allez arriver sur le marketplace.

Ensuite, cherchez le service simplement avec le mot Bastion , et cliquez  sur le résultat « Bastion (Preview) » comme ceci :


Cliquez ensuite sur « Create » : 




Ensuite, saisir les informations suivantes :


  •         Suscription : choisir votre Suscription 
  •         Ressource group : choisir le ressource groupe
  •         Name : donner un nom à votre host Azure Bastion
  •         Région : choisir la région disponible pour Azure Bastion
  •         Virtual network : choisir votre virtual network avec le quelle vous voulez activer Azure Bastion
  •         Subnet : choisir votre subnet précédemment crée pour Azure Bastion « AzureBastionSubnet »
  •         Public IP : choisir « Create new » afin de créer une nouvelle ip public pour votre Host Azure Bastion ( par défaut elle est statique)
  •         Public IP address name : choisir le nom de votre IP public
  •         Le SKU : par défaut il est en standard


Une fois terminé, il est possible de créer des tags si vous le souhaitez en cliquant sur « Next Tags ». Ensuite cliquez sur Create afin de créer votre premier Host Azure Bastion :


Le déploiement de l’host Azure Bastion commence, cela prendra environ 5 minutes :




On peut voir le détail du déploiement comme ceci :


Une fois déployé, on peut voir le statut « OK »,  le déploiement se fait en deux phases :
  •         Phase 1 : création de l’ip public
  •         Phase 2 : création l’host Azure Bastion 
 

Une fois déployé, il est possible de retrouver l’host Azure bastion au niveau du ressources groupe comme ceci :

Voici quelques informations concernant l’host Azure Bastion « AZ-BS01 » :




À ce stade nous avons déployé notre host Azure bastion, il reste plus qu’a le tester avec une connexion sur une machine virtuelle Windows depuis l’extérieur et sans IP public sur la machine virtuelle comme on peut le constater




Se connecter avec Azure Bastion

Pour se connecter via votre host Azure bastion rien de plus simple, allez sur une machine virtuelle, cliquer sur « connecte » et choisir « Bastion » comme ceci :



Il faut bien sur saisir vos identifiants ( nom utilisateurs et mots de passe ) , vous avez aussi la possibilité d’ouvrir une nouvelle fenêtre en cochant l’option « Open in new Window ».

Et me voilà connecté via du HTML 5 en SSL sur ma machine virtuelle depuis l’extérieur et sans IP public car c’est le host Azure Bastion qui s’occupe de rediriger la connexion de manière sécurisée en 443 :



Le copier – Coller :

La fonction copier – coller fonctionne bien avec les navigateurs qui supportent « Advanced Clipboard API access, »

Comme ceci :


Pour le reste des navigateurs il est possible d’utiliser l’outil mis en place afin de faciliter le copier – coller :








Roadmap et la suite ?

Microsoft prévoit bien entendu plusieurs améliorations au niveau d’Azure Bastion :

  •         L’intégration avec Azure Active Directory
  •         La prise en charge du Seamless SSO avec Azure AD avec du MFA
  •         Enregistrement de la session ( qui proposera pour le coup un vrai use case Bastion)pour de l’audit
 

Conclusion 

Azure Bastion est prometteur, il va nous permettre de se connecter sur nos machines virtuelles depuis l’extérieur de manière sécurisée sans exposer les adresse ip publics de nos VMs. ( si on l'on dipose pas de VPN entre notre site on-prem et Azure)

Ce service complètement managé ( PaaS ) offre un déploiement facile et peu coûteux afin de rendre l’accès aux machines virtuelles depuis l’extérieur plus sécurisé et fluide au travers de HTML5.

Plus besoin d’avoir un serveur de rebond ou une infrastructure RDS bastion complexe, il suffit d’utiliser le service Azure Bastion directement au niveau des virtuel network et automatiquement toutes les machines virtuelles connectées dessus seront atteignable via Azure Bastion.

Testez le, et attention : il n’est pas encore en GA, donc pas de production, mais testez le uniquement sur vos environnement de LAB.

Enjoy

Cdt,
Seyfallah Tagrerout
Microsoft MVP

vendredi 14 juin 2019

Azure Application Proxy - Part 1


Introduction

De nos jours, il est important d'offrir un monde mobile aux utilisateurs afin que ces derniers puissent être productifs depuis n'importe quel endroit, maison, lieux public ou même en voyage dans le train par exemple. Il est important donc de donner l'accès aux applications de l'entreprise depuis l'extérieur du système d'information de l'entreprise sans compromettre la sécurité.

Comment donner l'accès aux utilisateurs afin qu'ils puissent se connecter sur une application interne depuis l'extérieur, depuis un réseau non sécurisé et surtout non managé ?

Jusqu’à présent, les administrateurs optent pour deux solutions bien connus :
  • La mise en place d'un VPN point to site qui permet de connecter l'utilisateur au système d'information au travers d'une connexion VPN sécurisée, une fois connecté, l'utilisateur pourra accéder aux applications de l'entreprise
  • La mise en place d'une DMZ, où les serveurs applicatifs y sont placés afin que ces derniers puissent être joints depuis l'extérieur

Ces solutions fonctionnement, mais elle représentent plusieurs inconvénients pour les administrateurs:

  • Effort d'administration et création de règles au niveau des pare-feu pour la DMZ
  • Administration et maintenance du VPN
  • Demande beaucoup d'efforts de maintenance au quotidien
  • Difficile à sécuriser et demande beaucoup d'effort du à la complexité de ces architectures

 Avec Azure Active Directory, Microsoft propose une nouvelle méthode moderne qui permet l'accès aux applications internes de manière totalement plus sécurisée et surtout simplifiée. Cette méthode se nomme Azure Application Proxy.


Présentation


Azure Application Proxy est un moyen qui permet l'accès aux applications web internes d'une entreprise depuis l'extérieur, en offrant une authentification SSO sécurisée. L'avantage de cette solution, c'est l'utilisation des applications internes intégrées dans Azure Active Directory, ce qui offre aux utilisateurs une authentification unifiée avec le même compte, donc un utilisateur, avec le même compte Azure Active Directory pourra accéder aux application SaaS, aux applications internes web publiées via Azure Application Proxy, on en revient encore : une identité pour plusieurs applications, la force d'Azure Active Directory.

Azure Application Proxy présente plusieurs avantages :
  • Les utilisateurs auront une expérience d'authentification similaire aux autres applications SaaS de l'entreprise
  • Pas de modifications ni configurations particulières ni de mise à jours pour les applications internes que vous souhaitez publier avec Azure Application Proxy
  • Accès moderne et plus sécurisé aux applications internes depuis l'extérieur de l'entreprise
  • Pas d'infrastructure à créer et a gérer afin d'avoir l'Azure Application Proxy, ce service est déjà intégré dans Azure Active directory, reste plus qu'a le consommer
  • Pas d'architecture complexe on-premise
  • Facilité de publication et de gestion depuis la console Azure Active Directory admin center
  • Protection contre les attaques de type DOS/DDOS
  • Possibilité d'avoir du HA en déployant plusieurs serveurs connecteurs application Proxy, ces connecteurs peuvent être dédiés sur des serveurs spécifiques
  • Aucune connexion entrante, fonctionnement qu'avec des connexions et flux sortants à savoir du 80 et 443 en sortie du pare-feu
  • Tout le trafic est sécurisé avec SSL

Azure Application proxy permet la publication des applications suivantes:

  • Application intégrée à Active Directory qui utilise ADAL
  • Application Web avec l'authentification Windows intégrée
  • Application Web avec l'authentification Header Based
  • API web
  • Application derrière une architecture Remote Desktop Gateway

Fonctionnement

l'Azure Application Proxy fonctionne en 7 étapes afin de permettre à vos utilisateurs d'accéder à une application Web depuis l'extérieur de manière sécurisée et avec une bonne expérience au niveau authentification.
Dans une configuration Azure application proxy, nous avons les composants suivants:

  • Un annuaire Azure Active Directory
  • Le service Azure Application Proxy au niveau de l'annuaire
  • Un annuaire Active Directory local
  • Un serveur on-premise connecteur Azure application proxy
  • Une application Web exemple : un serveur IIS avec une application WEB
  • Utilisateur pour l'accès aux applications

Voici une illustration qui permet de montrer les différents flux qui sont envoyés lors d'une utilisation d'Azure application proxy depuis l’extérieur de l'entreprise:







Voici les 7 étapes nécessaires pour son fonctionnent

Etape 1: l'utilisateur souhaite se connecter à l'application locale depuis l'extérieur via le servir Azure Application Proxy, il sera redirigé vers la page d'authentification Azure Active Directory

 Etape 2: Une fois que l'utilisateur est authentifié, un jeton est crée et envoyé au poste de travail de l'utilisateur

Etape 3: Ensuite, le poste de travail envoie ce jeton au service Azure Application Proxy, ce dernier va récupérer l'UPN de l'utilisateur (User Principal Name) et le SPN du jeton et rédiger la requête vers le serveur connecteur Proxy installé en local

Etape 4: Interrogation de l'Active Directory si des authentifications sont nécessaires pour la connexion

Etape 5: Le serveur connecteur Proxy va à son tour envoyer la requête à l'application local

Etape 6: l'application envoi une requête à l'utilisateur, cette requête va passer le serveur connecteur proxy et le service Azure Application proxy présent dans Azure Active Directory

Etape 7:  l'utilisateur peut s'authentifier à l'application depuis l'extérieur de l'entreprise de manière sécurisée

Exemple d'applications:

Il est possible de publier les applications suivantes au travers de l'Azure Application Proxy :

  • Sites SharePoint on-premise
  • L'accès à distance avec RDP depuis extérieur au machine local de l'entreprise
  • Outlook webAccess
  • Toute application Web LOB ( Line of Business)

Dans la partie 2, nous allons voir la partie mise en place et publicaion d'une application à travers ce fameux Azure Application Proxy.

Cdt,

Seyfallah Tagrerout
Microsoft MVP

jeudi 13 juin 2019

4 eme aOS Aix-En-Provence

Hello,

j'ai eu la joie de co-organiser notre 4 eme aOS Aix en provence  avec Sebastien Paulet et Nicolas Bonnet.

l'aOS a eu lieu le 12 juin 2019 sur Aix.

Voici l'agenda :



Pour ma part j'ai donné une session sur Microsoft Threat Protection.



Voici quelques photos de l'event:





à la prochaine :)

Cdt,
Seyfallah Tagreout
Microsoft MVP

mardi 21 mai 2019

aOS Strasbourg - SPEAKER

Bonjour à tous,

j'ai la joie de participer à l'oOS Strasbourg  le 4 juin prochain en tant que speaker.

Je vais présenter une session sur la sécurité du Digital Workplace en entreprise avec Microsoft Threat Protection.

La communauté aOS (azure Office 365 SharePoint) vous invitent à venir assister à la 1ère édition de l’aOS Strasbourg le 4 Juin 2019.
Pendant une journée entière, vous pouvez rencontrer et échanger avec des experts des technologies Office 365 et Azure. Différentes sessions vous seront proposées où nous vous apporteront des retours terrain. Il vous sera ainsi possible de découvrir ou approfondir vos connaissances sur :

  • Azure,
  • Office 365,
  • Teams, SharePoint, ...
  • Power Platform : Power BI, PowerApps, Microsoft Flow


Ce sera aussi l’occasion de partager et échanger entre utilisateurs et professionnels, locaux, nationaux et internationaux, de l’offre Cloud Microsoft.
L'agenda de cette journée comporte un parcours décideurs sur la matinée et en parallèle un parcours technique sur la journée entière.

Voici l'agenda du jour :



Au plaisir de vous retrouver laba :)

Cdt,
ST
Microsoft MVP

mercredi 24 avril 2019

Global Azure BootCamp 2019 - Organisateur et Speaker

Hello,

J'ai le plaisir de vous annoncer notre prochain GAB qui se déroulera le 27 avril 2019  prochain ( samedi), c'est notre 3 eme GAB de suite  sur Aix en Provence.

Une journée de formation gratuite sur Microsoft Azure : Que vous soyez en phase de découverte ou que vous maîtrisiez déjà les services Azure, vous pourrez lors de cette journée échanger avec les experts de la régions, et participer à des Hands on Labs, ....

et participer à l'un des plus grands événement annuel de ce genre car il se déroule simultanément dans plus de 250 villes et plus de 150 pays dans le monde.

Les thématiques de la journée :
- Le machine learning
- L'infrastructure AS Code
- Azure Devops
- La sécurité dans le CLoud
- La gouvernance pour une transition réussie vers le cloud
- Backup et PRA dans Azure
et d'autres sujets tels que IOT, CHatbot, Azure Function et Logic App, Data Factory...

Voici le programme de la journée :



En plus d'être organisateur avec Jeff, Joel et Remi, je vais présenter Azure ATP ( sécurité des identités)

Pour vous inscrire c'est par ici : https://www.meetup.com/fr-FR/Meetup-Azure-Devops-Aix-en-Provence/events/259728426/

Venez nombreux , de plus, de nombreux cadeaux seront à gagner suite à cette belle journée qui vous attend :)

Cdt,
Seyfallah Tagrerout

samedi 6 avril 2019

Présentation Azure AD

Bonjour à tous,

j'ai eu la chance la semaine passée de présenter une session au tour de la gestion des identités hybrides Azure AD chez Microsoft Suisse - Genève.



Quelques photos :






Sujets abordés:

  •  L’identité Microsoft : Comprendre l’identité chez Microsoft
  •  L’identité hybride : Étendre mon identité en toute sécurité vers Azure Active Directory
  •  Sécurité : Sécuriser mon identité qui se retrouve dans un annuaire Cloud Azure Active Directory en dehors de mon système d’information
  •  Retour d’expérience 

Voici la présentation : https://www.slideshare.net/SeyfallahTagrerout/prsentation-azuread-identit-hybrides-et-securit

Bonne lecture,

Cdt,
Seyfallah Tagrerout
Microsoft MVP

lundi 18 mars 2019

Ma nouvelle formation sur AzureATP

Bonjour à tous,

j'ai le plaisir de vous présenter ma nouvelle formation sur Azure ATP.




Microsoft Azure Advanced Threat Protection

Description de la formation
Azure Advanced Threat Protection (AATP) est une plateforme cloud qui aide à protéger votre entreprise contre plusieurs types d’attaques informatiques ciblées et menaces internes avancées.

Cette formation Azure Advanced Threat Protection (AATP) a pour but de vous faire découvrir le produit Microsoft AATP, c'est à dire de la présentation du produit jusqu’à  sa mise en œuvre en passant par les phases de design et réflexion.

Cette formation Azure Advanced Threat Protection (AATP) est basée sur un retour d'expérience terrain via un déploiement world wide de ce produit, ce qui permet au  formateur de partager son expérience avec des cas pratiques rencontrés en entreprise.

A l'issue de cette formation Azure Advanced Threat Protection (AATP), vous serez capable de comprendre le fonctionnement de Microsoft AATP, de l’installer, de le paramétrer et de l'administrer. Le formateur met également l'accent sur l'aspect design avant l'installation, ce qui vous permettra de bien étudier votre existant avant tout déploiement en production.

Objectifs de la formation
Découvrir le produit Microsoft AATP  au sein de la suite EMS (Entreprise Mobilité + Sécurité)
Design, planification de la solution Microsoft AATP 
Installer et configurer Microsoft AATP
Sécuriser son environnement et son système d’information grâce à Microsoft AATP

Prérequis
Notions de sécurité informatique
Notions Active Directory, Windows Server, Azure et cloud

Public concerné
Architectes et ingénieurs cloud
Consultants IT et Cloud


Enjoy
Cdt,
ST
Microsoft MVP

>