Azure netwerk ontwerp aandachtspunten

Azure networking ziet er op het eerste gezicht simpel uit. Je maakt een virtueel netwerk aan in de Azure portal. In het virtuele netwerk maak je vervolgens een subnet met een IP-reeks. Met een paar klikken is er een netwerk waarin resources geplaatst kunnen worden.  Regelmatig zie ik  bij organisaties dat er op een gegeven moment “iets” in Azure moet komen. Dit gaat bij de meesten om een testomgeving van het een of het ander. De IT-organisatie regelt de toegang tot de Azure Portal zodat het team hun gang kunnen gaan.

Virtueel netwerk aanmaken

Er is niets zo permanent als een tijdelijk oplossing. Dit geldt in het bijzonder voor test omgevingen in de cloud.

 In de praktijk blijkt de Azure omgeving na verloop van tijd een connectie nodig te hebben naar de bestaande infrastructuur. Dit is in principe eenvoudig te regelen met de Azure VPN Gateway. Als er in het beginstadium niet goed over het netwerk ontwerp is nagedacht kan dit moeilijk zijn. Om jullie te behoeden voor moeilijke situaties volgt hier een lijst met aandachtpunten voor het netwerk ontwerp:  

  • Hoe ziet mijn IP Plan er uit?
    • Subnets per resource group
  • Welke locaties moet ik naar Azure verbinden?
    • Datacenters
    • Kantoren
    • 3rd party
  • Met welke technologie verbind ik de locaties naar Azure?
    • IPSEC site-to-site
    • Expressroute
    • IPSEC naar NVA
    • Cato Networks
  • Hoe ga ik netwerk security toepassen binnen mijn Azure netwerk?
    • Network security groups
    • Application security groups
    • Network virtual appliances (NVA) 
  • Wat voor Azure netwerk topologie ga ik gebruiken?
    • Hub and spoke
    • Vnet peering
  • Is er routing nodig?
    • User-defined-routes
Hub and spoke ontwerp

Met deze onderwerpen kun je een start maken met je Azure netwerk ontwerp. Er is voor ieder onderwerp een overvloed aan informatie te vinden op het internet. Mocht je hierdoor de bomen door het bos niet meer zien.  Aarzel niet en neem contact op via “ask-me@ivo-security.blog”. Het uitgangspunt ”keep it simple, stupid” werkt goed bij een Azure netwerk ontwerp. Bij dit uitgangspunt horen we tegenwoordig ook het begrip “safe” toe te passen.

In mijn volgende blog laat ik zien hoe onze omgeving is gekoppeld met Azure. Onze omgeving is niet gekoppeld via een Microsoft  ExpressRoute, maar op een nog mooiere manier.

Follow @lol.it.rofl on instagram for your daily dose of IT humor.

De ultieme lijst met Microsoft Security portals.

Microsoft is naast software leverancier de onbekende leider op het gebied van cyber security. Binnen de M365 bundels van Microsoft valt een heel pakket aan tooling om “Identities” en “Computers” te beschermen.

Veel los staande traditionele security producten zijn niet meer nodig. De functionaliteiten van deze traditionele security producten zitten verweven in de M365 bundels.  Organisaties kunnen aanzienlijk geld besparen door hun M365 bundels beter te benutten.

 

Het inrichten en gebruik van Azure Sentinel vergt enige training. De andere producten spreken voor hun zelf. De samenwerking tussen de Microsoft security producten verloopt buiten gewoon goed.

De verschillende producten:

Microsoft Defender (for end Endpoint)Security centerhttps://securitycenter.windows.com/
Microsoft Defender for office365https://protection.office.com/threatpolicy
Microsoft 365 admin centerhttps://admin.microsoft.com
Microsoft 365 admin centerhttps://security.microsoft.com/homepage
Endpointmanager(Intune)https://endpoint.microsoft.com/#home
Microsoft 365 compliance centerhttps://compliance.microsoft.com/homepage
Office365 Security & comopliance centerhttps://protection.office.com/homepage
Cloud App Discoveryhttps://portal.cloudappsecurity.com
Cloud App Securityhttps://portal.cloudappsecurity.com
Azurehttps://portal.azure.com
Azur Sentinel https://portal.azure.com
Azure Security Centerhttps://portal.azure.com/#blade/Microsoft_Azure_Security/SecurityMenuBlade/0
Azure Active Directoryhttps://aad.portal.azure.com
Azure Active Directoryhttps://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview
Microsoft Defender for Identityhttps://portal.atp.azure.com/
Azure AD Identity Protectionhttps://portal.azure.com/#blade/Microsoft_AAD_IAM/IdentityProtectionMenuBlade/Overview
Azure  AD Identity Protection (Free version)https://portal.azure.com/#blade/Microsoft_AAD_IAM/SecurityMenuBlade/RiskyUsers
Azure information protection (unified labeling)https://portal.azure.com/#blade/Microsoft_Azure_InformationProtection/DataClassGroupEditBlade/globalBlade

Volg @lol.it.rofl op instagram voor je dagelijkse dosis IT-humor.

Tijd om weer eens buzz woorden te gebruiken

In dit artikel ga ik vijf gebruikte buzz woorden toelichten. Sommige termen zijn al geruime tijd in gebruik. Een opfrisser is nooit verkeerd. De meeste vendoren geven een eigen betekenis aan de begrippen. Net zoals de meeste marketing afdelingen geef ik mijn eigen invulling aan de begrippen. Het kan dus goed zijn dat je hier anders tegenaan kijkt. Als dit zo is verneem ik dit graag @ ask-me@ivo-security.blog

Edge

Bij de edge denk ik aan alle data wat gemaakt wordt buiten de “cloud”. In de edge wordt data gemaakt wat naar de cloud gaat om verwerkt te worden. Denk aan iemand die een foto maakt en plaatst op social media. IoT is ook een mooi voorbeeld voor edge computing. Deze verzamelen data en sturen het door naar het datacenter/cloud.

Er is dus een grote verschuiving aan het plaatsvinden. Traditioneel wordt data gemaakt binnen een datacenter. Aan de Edge kant wordt steeds meer en meer data gemaakt en gevraagd. Met de verdere opkomst van het 5G netwerk zullen de apps dichter bij de eindgebruiker moeten komen. Dit houdt in dat er minidatacenters naarbij 5G masten geplaatst worden. Hierdoor komt de content dichter bij de consument. Denk bijvoorbeeld aan videostreams.

De meeste bedrijven zijn al voorzien van een Edge. Of ze zich dit nu realiseren of niet. In 1 van mijn volgende blogs ga ik het hebben over het beveiligen van de “Edge”

SD-WAN

SD-WAN komt nog veel voorbij. SD-WAN staat voor software defined wide area network. Waar een “Traditioneel” WAN is opgebouwd uit MPLS-verbindingen of EVPN’s is dit bij SD-WAN niet nodig. Leased lijnen of andere varianten zijn ook niet nodig. Het internet is de afgelopen jaren aanzienlijk verbeterd. Hierdoor zijn dure managed internet verbindingen overbodig. Door meerdere internetverbindingen aan te sluiten op een SD-WAN device ontstaat er een beter alternatief voor mpls verbindingen. Als je kiest voor meerdere goedkope internet bespaart de aanzienlijke op de kosten. Zelfs op lopende contracten. Een goede eigenschap van SD-WAN is dat netwerkverkeer gestuurd kan worden. Een mooi voorbeeld hiervan is dat een klant telefonie verkeer over zijn mpls verbindingen stuurt naar zijn vestigingen. Het internet verkeer gaat via de andere internet verbindingen. Hier door kunnen bandbreedtes op mpls verbindingen verlaagd worden. Het slim inzetten van SD-WAN verdient zich zelf snel terug.

SaSe

Naast SD-WAN, Edge computing, ZTNA, Firewalls, cloudbrokers zijn er nog tal van afkortingen. Al deze diensten zijn nodig om de medewerkers veilig te kunnen laten werken in het cloud tijdperk. SASE biedt hiervoor de perfecte oplossing. SASE staat voor Secure Access Service Edge. Een echte SASE oplossing biedt alle eerder genoemde netwerk en security mogelijkheden vanuit één platform. Natuurlijk zal iedere vendor nu vertellen dat ze al jaren een SASE oplossing hebben. Dit blijkt echter vaak te bestaan uit producten uit hun portfolio die slecht met elkaar samen werken.

Cato network is één van de weinige spelers die voldoet aan de criteria van Gartner. Door slim gebruik te maken van dit SASE product kunnen complexe netwerkomgevingen terug worden gebracht naar de eenvoud. Het koppelen van locaties is eenvoudig. Security policy’s voor onderlinge communicatie zijn met enkele muisklikken in te regelen. Het toevoegen van een netwerk segment heeft geen consequenties en geeft geen extra werk. Met deze SASE oplossing kan je afscheid nemen van legacy (security)netwerk apparatuur. Dit houdt in dat er minder appliances nodig zijn, minder hardware, minder beheer. Meer tijd voor leuke dingen.

Netwerkbeheerders zijn sceptisch als ik hierover vertel. Het klinkt namelijk te mooi om waar te zijn. Ik kom graag bewijzen hoe makkelijk het kan zijn.

Distributed Cloud

Er was eens een public cloud. Al snel ontstond er een private cloud. Een hybride cloud bleek ook erg handig te zijn. De aankomende tijd zal het erg mistig worden. Zo zijn er vele nieuwe clouds opkomst. De “5G mobile cloud edge” en “Metro-area community cloud” zijn hier twee voorbeelden van. Het idee hierachter is dat de apps dichter bij de consument komt te staan. De benodigde content zal verdeeld worden over verschillende type clouds. Het moet niet uitmaken in welke cloud het staat. Zolang de concument veel data kan verbruiken zonder latency. Ik wil niet zeggen dat de cloud iemand anders zijn computer is maar toch.

IoB – Internet of Behavior

In de digitale wereld laten we sporen achter. De sporen die we achterlaten worden ook wel stof(dust) genoemd. Dit proces is geruime tijd aan de gang. Websites proberen steeds meer data over jou te verzamelen. IoT device woorden meer en meer gebruikt. Er zijn tal van wearables die mensen dragen. Deze apparatuur verzameld ook meer en meer data.

Op dit moment wordt de verzamelde data in veel gevallen nog op zichzelf gebruikt. De websites analyseren het voor hun doeleinden. IoT analyseert zijn data om zichzelf te verbeteren. De telemetry van je telefoon wordt gebruikt door de leverancier om deze te verbeteren. Bij de meeste webshop verschijnen er gepersonaliseerde aanbiedingen.

Binnen Internet of Behavior zullen al deze verschillende stof(dust) bij elkaar geveegd worden. Hierdoor kan er een gedetailleerd beeld gemaakt worden van de consument. Alles met het doel om de consument optimaal te kunnen aanzetten tot een aankoop.

Hier zitten enkele ethische vraagstukken omheen welke nog de revue moeten passeren.

Volg @lol.it.rofl op instagram voor je dagelijkse dosis IT-humor.

Fortigate policies op basis van Azure Dynamic Groups

Iedere organisatie gebruikt groepen om rechten toe te kennen aan medewerkers. Deze groepen geven bijvoorbeeld lees of schrijfrechten op een map.  De groepen worden gebruikt om resources toe te kennen aan medewerkers. Vaak zijn dit applicaties, printers of alle andere zaken. Door de eenvoudige structuur van groepen blijft het overzichtelijk voor de beheerders.

Binnen het cloud tijdperk zijn groepen nog steeds relevant om permissies of resources toe te kennen. Echter vraagt dit wel een andere aanpak.

De administratie rondom groepslidmaatschappen laat nog weleens te wensen over. Medewerkers met veel arbeidsjaren hebben vaak een grote rugtas met groepen waarvan zij lid zijn. De dynamiek over werken is in de loop der jaren ook veranderd. Dit moet flexibeler en meer project/team matig. Om deze wensen in bestaande groepen structuren te plaatsen is lastig Dit is iets waar veel organisaties meer worstelen. In veel gevallen is er een wildgroei aan groepen ontstaan binnen hun Active Directory. 

Hierdoor ziet men door de bomen het bos niet meer. Ik hoef niet uit te leggen waarom dit niet handig is voor IT-beveiliging.

Azure AD Dynamic Groups

In Azure AD kunnen groepen gemaakt worden op basis van user eigenschappen. Deze groepen noemt men Dynamic Groups. Zo kan er bijvoorbeeld een groep gemaakt worden op basis van functie titel. Het is dus eenvoudig om een groep te creëren met alle managers. De groep wordt ook automatisch bijgewerkt. Wanneer een lid niet meer voldoet aan de gestelde criteria wordt deze verwijderd.

Bijna alle user account eigenschappen kunnen gebruikt worden om membership rules te maken.

De Azure AD Dynamic Groups kunnen gebruikt worden in de Fortigate firewalls. (Lees hier hoe je je Fortigate SAML authenticatie met Azure AD inregelt) Resources worden door middel van dynamic groepen toegekend. De medewerker kan alleen via de SSL-VPN bij de resources als zijn account voldoet aan de criteria van de Dynamic Group.

Hieronder laat ik de stappen zien om dit te bereiken. In het onderstaande voorbeeld maak ik twee verschillende groepen aan. De ene is voor het security team. De andere is voor de CSN Microsoft licentie specialisten.

Beschrijf het doel van de dynamic groep zo concreet mogelijk en voeg deze later doe in de beschrijving

Maak binnen Azure AD een nieuwe groep aan. Geef aan dat de membership type: "Dynamic User" is. Voeg vervolgens een "Dynamic query" toe.
In de "Regel bouwer" kan je aangeven waar het groepslidmaatschap aan moet voldoen. In het onderstaande voorbeeld moet zijn functietitel iets te maken hebben met "security".
Gebruik de "validation rules" om te controleren of de gewenste leden voldoen aan de criteria Door een aantal test personen te kiezen zie je snel of de regel werkt.
Deze groep is gemaakt voor de Microsoft licentie specialisten van CSN Groep

Bij het aanmaken van een Dynamic Group wordt er een welkomst mail verstuurd naar de leden.

Dit gedrag kan je uitzetten in exchange online:

Set-UnifiedGroup -Identity "voorbeeldgroep@domein.nl" UnifiedGroupWelcomeMessageEnable:$false
De groepen zijn aangemaakt. Het object-Id van de groep is later nodig in de Fortigate configuratie.

Het object-id van de groep wordt gebruikt in de Fortigate configuratie

Door de groep te openen kun je nogmaals controleren of de gewenste leden aanwezig zijn.
In ons geval gebruiken we de Dynamic Groups ook om de enterprise app "Fortigate SSL-VPN" toe te kennen
Geeft hier een duidelijk naam aan het attribuut. Deze is later nodig in de Fortigate configuratie
In de SAML user configuratie van de Fortigate plaats je de naam van het zojuist aangemaakte groep attribuut.
In de groep configuratie van de Fortigate maak je de nieuwe groepen aan. In deze groepen geef je de conditie aan waaraan ze moeten voldoen. In dit geval moet de "group-name" overeen komen met het "Object-id" van de groep in Azure AD.
De aangemaakte groepen kunnen nu worden ingezet om resources toe te kennen. Met andere woorden. Ze kunnen gebruikt worden in de Fortigate security policies.

Volg @lol.it.rofl op instagram voor je dagelijkse dosis IT-humor.

Fortigate en Azure AD: veilig thuiswerken

Binnen CSN Groep werken wij dit jaar, net als de rest van Nederland, veelal vanuit huis. Onze medewerkers hebben daarom thuis toegang nodig tot de resources binnen ons datacenter. En dat op een manier die de veiligheid van de data niet in het geding brengt. Wij combineren daarom twee van de beste securityproducten met elkaar: Fortigate firewalls en Azure Active Directory (Azure AD). Benieuwd hoe deze producten samenwerken? Ik leg het hieronder in een notendop uit.

Mogelijk is het ten overvloede, maar de securityproducten doen los van elkaar het volgende:

Fortigate
Een Fortigate is een zogenaamde next-gen firewall. Deze firewall biedt brede bescherming tegen ontelbaar veel cyber threats. Als deze firewall goed is geconfigureerd, zullen aanvallen zoals ransomware worden afgeweerd. Daarnaast biedt het oplossingen voor connectiviteitsvraagstukken. Zo koppelen wij locaties met datacenters op basis van SD-WAN technologieën. De Fortigates bieden de mogelijkheid om thuiswerkers veilig toegang te geven tot netwerkresources. Een zeer veelzijdig apparaat wat bij de meeste mensen tot de verbeelding zal spreken.

Azure Active Directory (Azure AD)
Azure AD is de Identity Manager van Microsoft. Deze wordt nog weleens verward met de traditionele Windows Active Directory. Echter zijn dit op zichzelf staande producten. De producten hebben overigens wel wat van elkaar weg. Zo kunnen beiden autorisaties uitdelen en authenticatieverzoeken afhandelen. Azure AD biedt daarnaast ook een centrale plek voor accountadministratie en kan bovengenoemde zaken ook voor cloudapplicaties regelen. Zo wordt aanmelding op Office365 afgehandeld door Azure AD, en kunnen de accounts binnen Azure AD aan alle SaaS applicaties gekoppeld worden zodat je één account hebt waarmee je overal kunt aanmelden. De talloze losse accounts die je voor iedere online dienst moet onthouden, komen hiermee te vervallen.

Hoe zet CSN deze tools in voor het veilig thuiswerken?
Onze medewerkers die door corona vanuit huis werken, krijgen veilig toegang tot de benodigde resources binnen het datacenter door de Fortigate SSL-VPN client. Deze creëert een veilige tunnel door het internet van de endpoint tot de Fortigate firewall. Om het voor de medewerkers eenvoudig te houden, gebruiken zij hetzelfde account als voor Office365. Dit houdt ook in dat dezelfde Multi-Factor Authenticatie (MFA) wordt gebruikt. In ons geval is dit een pushbericht waarmee je met één druk op de knop de inlogpoging autoriseert. In de onderstaande diagram wordt de connectie en authenticatie schematisch weergegeven:

Wat moeten onze medewerkers doen om de verbinding op te zetten? Bekijk het in onderstaande video?

https://www.ivo-security.blog/wp-content/uploads/2021/01/Forticlient.mp4

Technische invulling 
Nu we het doel hebben behandeld, kunnen we kijken naar de technische invulling. Er wordt gebruik gemaakt van SAML. We hebben in deze configuratie te maken met drie betrokkenen:

  1. User: de medewerker die vanuit huis werkt en toegang tot de content wil.
  2. Identity Provider: de partij die de identiteiten van de medewerkers bevat, oftewel Azure AD.
  3. Service Provider: de partij die toegang biedt tot de content, oftewel Fortigate firewall.

Wil je meer lezen over de configuratie? In deze handleiding vind je alle details.

De configuratie start met het maken van een enterprise application binnen Azure AD. Vul de Fully Qualified Domain Name (FQDN) of het IP-adres van de Fortinet in.

Nadat de enterprise application is geconfigureerd kan je deze toekennen aan users. Hiermee worden medewerkers gemachtigd de applicatie te gebruiken. Dit kan ook op basis van groepen.

De medewerker kan vervolgens eenvoudig de verbinding vinden door in te loggen op Office365. Hier staat nu de snelkoppeling.

Als je de Fortigate-ssl-vpn-tutorial handleiding hebt gevolgd, is nu de user en Identity Provider geconfigureerd. Nu moet alleen de Service Provider nog. Dat is in dit geval de Fortigate firewall. Nadat het certificaat in de Fortigate geïmporteerd is, kan de SAML configuratie starten.

Vergeet niet de SSL-VPN portal toe te kennen. De SAML authenticatie is voor de web-access en tunnel-access mogelijk.

Als laatste stap moeten we de firewall voorzien van een security policy. In ons geval willen we de SSL-VPN users toegang geven tot een specifieke applicatie server met een fileshare en een database.

Hoe je vervolgens vanuit de Office 365 portal inlogt naar de Fortigate? Bekijk onderstaande video voor een korte uitleg

https://www.ivo-security.blog/wp-content/uploads/2021/01/FortiSign-broser.mp4

Lees hier meer over de specifieke security tools:

Volg @lol.it.rofl op instagram voor je dagelijkse dosis IT-humor.