Azure – Ivo-Security

Azure netwerk ontwerp aandachtspunten

Gepubliceerd op 24/01/202126/01/2021 door Ivo

Azure networking ziet er op het eerste gezicht simpel uit. Je maakt een virtueel netwerk aan in de Azure portal. In het virtuele netwerk maak je vervolgens een subnet met een IP-reeks. Met een paar klikken is er een netwerk waarin resources geplaatst kunnen worden. Regelmatig zie ik bij organisaties dat er op een gegeven moment “iets” in Azure moet komen. Dit gaat bij de meesten om een testomgeving van het een of het ander. De IT-organisatie regelt de toegang tot de Azure Portal zodat het team hun gang kunnen gaan.

Er is niets zo permanent als een tijdelijk oplossing. Dit geldt in het bijzonder voor test omgevingen in de cloud.

In de praktijk blijkt de Azure omgeving na verloop van tijd een connectie nodig te hebben naar de bestaande infrastructuur. Dit is in principe eenvoudig te regelen met de Azure VPN Gateway. Als er in het beginstadium niet goed over het netwerk ontwerp is nagedacht kan dit moeilijk zijn. Om jullie te behoeden voor moeilijke situaties volgt hier een lijst met aandachtpunten voor het netwerk ontwerp:

Hoe ziet mijn IP Plan er uit?
- Subnets per resource group
Welke locaties moet ik naar Azure verbinden?
- Datacenters
- Kantoren
- 3rd party
Met welke technologie verbind ik de locaties naar Azure?
- IPSEC site-to-site
- Expressroute
- IPSEC naar NVA
- Cato Networks
Hoe ga ik netwerk security toepassen binnen mijn Azure netwerk?
- Network security groups
- Application security groups
- Network virtual appliances (NVA)
Wat voor Azure netwerk topologie ga ik gebruiken?
- Hub and spoke
- Vnet peering
Is er routing nodig?
- User-defined-routes

Met deze onderwerpen kun je een start maken met je Azure netwerk ontwerp. Er is voor ieder onderwerp een overvloed aan informatie te vinden op het internet. Mocht je hierdoor de bomen door het bos niet meer zien. Aarzel niet en neem contact op via “ask-me@ivo-security.blog”. Het uitgangspunt ”keep it simple, stupid” werkt goed bij een Azure netwerk ontwerp. Bij dit uitgangspunt horen we tegenwoordig ook het begrip “safe” toe te passen.

In mijn volgende blog laat ik zien hoe onze omgeving is gekoppeld met Azure. Onze omgeving is niet gekoppeld via een Microsoft ExpressRoute, maar op een nog mooiere manier.

Follow @lol.it.rofl on instagram for your daily dose of IT humor.

De ultieme lijst met Microsoft Security portals.

Gepubliceerd op 21/01/202107/02/2021 door Ivo

Microsoft is naast software leverancier de onbekende leider op het gebied van cyber security. Binnen de M365 bundels van Microsoft valt een heel pakket aan tooling om “Identities” en “Computers” te beschermen.

Veel los staande traditionele security producten zijn niet meer nodig. De functionaliteiten van deze traditionele security producten zitten verweven in de M365 bundels. Organisaties kunnen aanzienlijk geld besparen door hun M365 bundels beter te benutten.

Het inrichten en gebruik van Azure Sentinel vergt enige training. De andere producten spreken voor hun zelf. De samenwerking tussen de Microsoft security producten verloopt buiten gewoon goed.

De verschillende producten:

Microsoft Defender (for end Endpoint)Security center	https://securitycenter.windows.com/
Microsoft Defender for office365	https://protection.office.com/threatpolicy
Microsoft 365 admin center	https://admin.microsoft.com
Microsoft 365 admin center	https://security.microsoft.com/homepage
Endpointmanager(Intune)	https://endpoint.microsoft.com/#home
Microsoft 365 compliance center	https://compliance.microsoft.com/homepage
Office365 Security & comopliance center	https://protection.office.com/homepage
Cloud App Discovery	https://portal.cloudappsecurity.com
Cloud App Security	https://portal.cloudappsecurity.com
Azure	https://portal.azure.com
Azur Sentinel	https://portal.azure.com
Azure Security Center	https://portal.azure.com/#blade/Microsoft_Azure_Security/SecurityMenuBlade/0
Azure Active Directory	https://aad.portal.azure.com
Azure Active Directory	https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview
Microsoft Defender for Identity	https://portal.atp.azure.com/
Azure AD Identity Protection	https://portal.azure.com/#blade/Microsoft_AAD_IAM/IdentityProtectionMenuBlade/Overview
Azure AD Identity Protection (Free version)	https://portal.azure.com/#blade/Microsoft_AAD_IAM/SecurityMenuBlade/RiskyUsers
Azure information protection (unified labeling)	https://portal.azure.com/#blade/Microsoft_Azure_InformationProtection/DataClassGroupEditBlade/globalBlade

Volg @lol.it.rofl op instagram voor je dagelijkse dosis IT-humor.

Fortigate policies op basis van Azure Dynamic Groups

Gepubliceerd op 16/01/202105/02/2021 door Ivo

Iedere organisatie gebruikt groepen om rechten toe te kennen aan medewerkers. Deze groepen geven bijvoorbeeld lees of schrijfrechten op een map. De groepen worden gebruikt om resources toe te kennen aan medewerkers. Vaak zijn dit applicaties, printers of alle andere zaken. Door de eenvoudige structuur van groepen blijft het overzichtelijk voor de beheerders.

Binnen het cloud tijdperk zijn groepen nog steeds relevant om permissies of resources toe te kennen. Echter vraagt dit wel een andere aanpak.

De administratie rondom groepslidmaatschappen laat nog weleens te wensen over. Medewerkers met veel arbeidsjaren hebben vaak een grote rugtas met groepen waarvan zij lid zijn. De dynamiek over werken is in de loop der jaren ook veranderd. Dit moet flexibeler en meer project/team matig. Om deze wensen in bestaande groepen structuren te plaatsen is lastig Dit is iets waar veel organisaties meer worstelen. In veel gevallen is er een wildgroei aan groepen ontstaan binnen hun Active Directory.

Hierdoor ziet men door de bomen het bos niet meer. Ik hoef niet uit te leggen waarom dit niet handig is voor IT-beveiliging.

Azure AD Dynamic Groups

In Azure AD kunnen groepen gemaakt worden op basis van user eigenschappen. Deze groepen noemt men Dynamic Groups. Zo kan er bijvoorbeeld een groep gemaakt worden op basis van functie titel. Het is dus eenvoudig om een groep te creëren met alle managers. De groep wordt ook automatisch bijgewerkt. Wanneer een lid niet meer voldoet aan de gestelde criteria wordt deze verwijderd.

Bijna alle user account eigenschappen kunnen gebruikt worden om membership rules te maken.

De Azure AD Dynamic Groups kunnen gebruikt worden in de Fortigate firewalls. (Lees hier hoe je je Fortigate SAML authenticatie met Azure AD inregelt) Resources worden door middel van dynamic groepen toegekend. De medewerker kan alleen via de SSL-VPN bij de resources als zijn account voldoet aan de criteria van de Dynamic Group.

Hieronder laat ik de stappen zien om dit te bereiken. In het onderstaande voorbeeld maak ik twee verschillende groepen aan. De ene is voor het security team. De andere is voor de CSN Microsoft licentie specialisten.

Beschrijf het doel van de dynamic groep zo concreet mogelijk en voeg deze later doe in de beschrijving

Maak binnen Azure AD een nieuwe groep aan. Geef aan dat de membership type: "Dynamic User" is. Voeg vervolgens een "Dynamic query" toe.

In de "Regel bouwer" kan je aangeven waar het groepslidmaatschap aan moet voldoen. In het onderstaande voorbeeld moet zijn functietitel iets te maken hebben met "security".

Gebruik de "validation rules" om te controleren of de gewenste leden voldoen aan de criteria Door een aantal test personen te kiezen zie je snel of de regel werkt.

Deze groep is gemaakt voor de Microsoft licentie specialisten van CSN Groep

Bij het aanmaken van een Dynamic Group wordt er een welkomst mail verstuurd naar de leden.
Dit gedrag kan je uitzetten in exchange online:

Set-UnifiedGroup -Identity "voorbeeldgroep@domein.nl" UnifiedGroupWelcomeMessageEnable:$false

De groepen zijn aangemaakt. Het object-Id van de groep is later nodig in de Fortigate configuratie.

Het object-id van de groep wordt gebruikt in de Fortigate configuratie

Door de groep te openen kun je nogmaals controleren of de gewenste leden aanwezig zijn.

In ons geval gebruiken we de Dynamic Groups ook om de enterprise app "Fortigate SSL-VPN" toe te kennen

Geeft hier een duidelijk naam aan het attribuut. Deze is later nodig in de Fortigate configuratie

In de SAML user configuratie van de Fortigate plaats je de naam van het zojuist aangemaakte groep attribuut.

In de groep configuratie van de Fortigate maak je de nieuwe groepen aan. In deze groepen geef je de conditie aan waaraan ze moeten voldoen. In dit geval moet de "group-name" overeen komen met het "Object-id" van de groep in Azure AD.

De aangemaakte groepen kunnen nu worden ingezet om resources toe te kennen. Met andere woorden. Ze kunnen gebruikt worden in de Fortigate security policies.

Volg @lol.it.rofl op instagram voor je dagelijkse dosis IT-humor.

Fortigate en Azure AD: veilig thuiswerken

Gepubliceerd op 16/01/202122/01/2021 door Ivo

Binnen CSN Groep werken wij dit jaar, net als de rest van Nederland, veelal vanuit huis. Onze medewerkers hebben daarom thuis toegang nodig tot de resources binnen ons datacenter. En dat op een manier die de veiligheid van de data niet in het geding brengt. Wij combineren daarom twee van de beste securityproducten met elkaar: Fortigate firewalls en Azure Active Directory (Azure AD). Benieuwd hoe deze producten samenwerken? Ik leg het hieronder in een notendop uit.

Mogelijk is het ten overvloede, maar de securityproducten doen los van elkaar het volgende:

Fortigate
Een Fortigate is een zogenaamde next-gen firewall. Deze firewall biedt brede bescherming tegen ontelbaar veel cyber threats. Als deze firewall goed is geconfigureerd, zullen aanvallen zoals ransomware worden afgeweerd. Daarnaast biedt het oplossingen voor connectiviteitsvraagstukken. Zo koppelen wij locaties met datacenters op basis van SD-WAN technologieën. De Fortigates bieden de mogelijkheid om thuiswerkers veilig toegang te geven tot netwerkresources. Een zeer veelzijdig apparaat wat bij de meeste mensen tot de verbeelding zal spreken.

Azure Active Directory (Azure AD)
Azure AD is de Identity Manager van Microsoft. Deze wordt nog weleens verward met de traditionele Windows Active Directory. Echter zijn dit op zichzelf staande producten. De producten hebben overigens wel wat van elkaar weg. Zo kunnen beiden autorisaties uitdelen en authenticatieverzoeken afhandelen. Azure AD biedt daarnaast ook een centrale plek voor accountadministratie en kan bovengenoemde zaken ook voor cloudapplicaties regelen. Zo wordt aanmelding op Office365 afgehandeld door Azure AD, en kunnen de accounts binnen Azure AD aan alle SaaS applicaties gekoppeld worden zodat je één account hebt waarmee je overal kunt aanmelden. De talloze losse accounts die je voor iedere online dienst moet onthouden, komen hiermee te vervallen.

Hoe zet CSN deze tools in voor het veilig thuiswerken?
Onze medewerkers die door corona vanuit huis werken, krijgen veilig toegang tot de benodigde resources binnen het datacenter door de Fortigate SSL-VPN client. Deze creëert een veilige tunnel door het internet van de endpoint tot de Fortigate firewall. Om het voor de medewerkers eenvoudig te houden, gebruiken zij hetzelfde account als voor Office365. Dit houdt ook in dat dezelfde Multi-Factor Authenticatie (MFA) wordt gebruikt. In ons geval is dit een pushbericht waarmee je met één druk op de knop de inlogpoging autoriseert. In de onderstaande diagram wordt de connectie en authenticatie schematisch weergegeven:

Wat moeten onze medewerkers doen om de verbinding op te zetten? Bekijk het in onderstaande video?

Technische invulling
Nu we het doel hebben behandeld, kunnen we kijken naar de technische invulling. Er wordt gebruik gemaakt van SAML. We hebben in deze configuratie te maken met drie betrokkenen:

User: de medewerker die vanuit huis werkt en toegang tot de content wil.
Identity Provider: de partij die de identiteiten van de medewerkers bevat, oftewel Azure AD.
Service Provider: de partij die toegang biedt tot de content, oftewel Fortigate firewall.

Wil je meer lezen over de configuratie? In deze handleiding vind je alle details.

De configuratie start met het maken van een enterprise application binnen Azure AD. Vul de Fully Qualified Domain Name (FQDN) of het IP-adres van de Fortinet in.

Nadat de enterprise application is geconfigureerd kan je deze toekennen aan users. Hiermee worden medewerkers gemachtigd de applicatie te gebruiken. Dit kan ook op basis van groepen.

De medewerker kan vervolgens eenvoudig de verbinding vinden door in te loggen op Office365. Hier staat nu de snelkoppeling.

Als je de Fortigate-ssl-vpn-tutorial handleiding hebt gevolgd, is nu de user en Identity Provider geconfigureerd. Nu moet alleen de Service Provider nog. Dat is in dit geval de Fortigate firewall. Nadat het certificaat in de Fortigate geïmporteerd is, kan de SAML configuratie starten.

Vergeet niet de SSL-VPN portal toe te kennen. De SAML authenticatie is voor de web-access en tunnel-access mogelijk.

Als laatste stap moeten we de firewall voorzien van een security policy. In ons geval willen we de SSL-VPN users toegang geven tot een specifieke applicatie server met een fileshare en een database.

Hoe je vervolgens vanuit de Office 365 portal inlogt naar de Fortigate? Bekijk onderstaande video voor een korte uitleg

Lees hier meer over de specifieke security tools:

Volg @lol.it.rofl op instagram voor je dagelijkse dosis IT-humor.