Fortigate policies op basis van Azure Dynamic Groups

Iedere organisatie gebruikt groepen om rechten toe te kennen aan medewerkers. Deze groepen geven bijvoorbeeld lees of schrijfrechten op een map.  De groepen worden gebruikt om resources toe te kennen aan medewerkers. Vaak zijn dit applicaties, printers of alle andere zaken. Door de eenvoudige structuur van groepen blijft het overzichtelijk voor de beheerders.

Binnen het cloud tijdperk zijn groepen nog steeds relevant om permissies of resources toe te kennen. Echter vraagt dit wel een andere aanpak.

De administratie rondom groepslidmaatschappen laat nog weleens te wensen over. Medewerkers met veel arbeidsjaren hebben vaak een grote rugtas met groepen waarvan zij lid zijn. De dynamiek over werken is in de loop der jaren ook veranderd. Dit moet flexibeler en meer project/team matig. Om deze wensen in bestaande groepen structuren te plaatsen is lastig Dit is iets waar veel organisaties meer worstelen. In veel gevallen is er een wildgroei aan groepen ontstaan binnen hun Active Directory. 

Hierdoor ziet men door de bomen het bos niet meer. Ik hoef niet uit te leggen waarom dit niet handig is voor IT-beveiliging.

Azure AD Dynamic Groups

In Azure AD kunnen groepen gemaakt worden op basis van user eigenschappen. Deze groepen noemt men Dynamic Groups. Zo kan er bijvoorbeeld een groep gemaakt worden op basis van functie titel. Het is dus eenvoudig om een groep te creëren met alle managers. De groep wordt ook automatisch bijgewerkt. Wanneer een lid niet meer voldoet aan de gestelde criteria wordt deze verwijderd.

Bijna alle user account eigenschappen kunnen gebruikt worden om membership rules te maken.

De Azure AD Dynamic Groups kunnen gebruikt worden in de Fortigate firewalls. (Lees hier hoe je je Fortigate SAML authenticatie met Azure AD inregelt) Resources worden door middel van dynamic groepen toegekend. De medewerker kan alleen via de SSL-VPN bij de resources als zijn account voldoet aan de criteria van de Dynamic Group.

Hieronder laat ik de stappen zien om dit te bereiken. In het onderstaande voorbeeld maak ik twee verschillende groepen aan. De ene is voor het security team. De andere is voor de CSN Microsoft licentie specialisten.

Beschrijf het doel van de dynamic groep zo concreet mogelijk en voeg deze later doe in de beschrijving

Maak binnen Azure AD een nieuwe groep aan. Geef aan dat de membership type: "Dynamic User" is. Voeg vervolgens een "Dynamic query" toe.
In de "Regel bouwer" kan je aangeven waar het groepslidmaatschap aan moet voldoen. In het onderstaande voorbeeld moet zijn functietitel iets te maken hebben met "security".
Gebruik de "validation rules" om te controleren of de gewenste leden voldoen aan de criteria Door een aantal test personen te kiezen zie je snel of de regel werkt.
Deze groep is gemaakt voor de Microsoft licentie specialisten van CSN Groep

Bij het aanmaken van een Dynamic Group wordt er een welkomst mail verstuurd naar de leden.

Dit gedrag kan je uitzetten in exchange online:

Set-UnifiedGroup -Identity "voorbeeldgroep@domein.nl" UnifiedGroupWelcomeMessageEnable:$false
De groepen zijn aangemaakt. Het object-Id van de groep is later nodig in de Fortigate configuratie.

Het object-id van de groep wordt gebruikt in de Fortigate configuratie

Door de groep te openen kun je nogmaals controleren of de gewenste leden aanwezig zijn.
In ons geval gebruiken we de Dynamic Groups ook om de enterprise app "Fortigate SSL-VPN" toe te kennen
Geeft hier een duidelijk naam aan het attribuut. Deze is later nodig in de Fortigate configuratie
In de SAML user configuratie van de Fortigate plaats je de naam van het zojuist aangemaakte groep attribuut.
In de groep configuratie van de Fortigate maak je de nieuwe groepen aan. In deze groepen geef je de conditie aan waaraan ze moeten voldoen. In dit geval moet de "group-name" overeen komen met het "Object-id" van de groep in Azure AD.
De aangemaakte groepen kunnen nu worden ingezet om resources toe te kennen. Met andere woorden. Ze kunnen gebruikt worden in de Fortigate security policies.

Volg @lol.it.rofl op instagram voor je dagelijkse dosis IT-humor.

Fortigate en Azure AD: veilig thuiswerken

Binnen CSN Groep werken wij dit jaar, net als de rest van Nederland, veelal vanuit huis. Onze medewerkers hebben daarom thuis toegang nodig tot de resources binnen ons datacenter. En dat op een manier die de veiligheid van de data niet in het geding brengt. Wij combineren daarom twee van de beste securityproducten met elkaar: Fortigate firewalls en Azure Active Directory (Azure AD). Benieuwd hoe deze producten samenwerken? Ik leg het hieronder in een notendop uit.

Mogelijk is het ten overvloede, maar de securityproducten doen los van elkaar het volgende:

Fortigate
Een Fortigate is een zogenaamde next-gen firewall. Deze firewall biedt brede bescherming tegen ontelbaar veel cyber threats. Als deze firewall goed is geconfigureerd, zullen aanvallen zoals ransomware worden afgeweerd. Daarnaast biedt het oplossingen voor connectiviteitsvraagstukken. Zo koppelen wij locaties met datacenters op basis van SD-WAN technologieën. De Fortigates bieden de mogelijkheid om thuiswerkers veilig toegang te geven tot netwerkresources. Een zeer veelzijdig apparaat wat bij de meeste mensen tot de verbeelding zal spreken.

Azure Active Directory (Azure AD)
Azure AD is de Identity Manager van Microsoft. Deze wordt nog weleens verward met de traditionele Windows Active Directory. Echter zijn dit op zichzelf staande producten. De producten hebben overigens wel wat van elkaar weg. Zo kunnen beiden autorisaties uitdelen en authenticatieverzoeken afhandelen. Azure AD biedt daarnaast ook een centrale plek voor accountadministratie en kan bovengenoemde zaken ook voor cloudapplicaties regelen. Zo wordt aanmelding op Office365 afgehandeld door Azure AD, en kunnen de accounts binnen Azure AD aan alle SaaS applicaties gekoppeld worden zodat je één account hebt waarmee je overal kunt aanmelden. De talloze losse accounts die je voor iedere online dienst moet onthouden, komen hiermee te vervallen.

Hoe zet CSN deze tools in voor het veilig thuiswerken?
Onze medewerkers die door corona vanuit huis werken, krijgen veilig toegang tot de benodigde resources binnen het datacenter door de Fortigate SSL-VPN client. Deze creëert een veilige tunnel door het internet van de endpoint tot de Fortigate firewall. Om het voor de medewerkers eenvoudig te houden, gebruiken zij hetzelfde account als voor Office365. Dit houdt ook in dat dezelfde Multi-Factor Authenticatie (MFA) wordt gebruikt. In ons geval is dit een pushbericht waarmee je met één druk op de knop de inlogpoging autoriseert. In de onderstaande diagram wordt de connectie en authenticatie schematisch weergegeven:

Wat moeten onze medewerkers doen om de verbinding op te zetten? Bekijk het in onderstaande video?

Technische invulling 
Nu we het doel hebben behandeld, kunnen we kijken naar de technische invulling. Er wordt gebruik gemaakt van SAML. We hebben in deze configuratie te maken met drie betrokkenen:

  1. User: de medewerker die vanuit huis werkt en toegang tot de content wil.
  2. Identity Provider: de partij die de identiteiten van de medewerkers bevat, oftewel Azure AD.
  3. Service Provider: de partij die toegang biedt tot de content, oftewel Fortigate firewall.

Wil je meer lezen over de configuratie? In deze handleiding vind je alle details.

De configuratie start met het maken van een enterprise application binnen Azure AD. Vul de Fully Qualified Domain Name (FQDN) of het IP-adres van de Fortinet in.

Nadat de enterprise application is geconfigureerd kan je deze toekennen aan users. Hiermee worden medewerkers gemachtigd de applicatie te gebruiken. Dit kan ook op basis van groepen.

De medewerker kan vervolgens eenvoudig de verbinding vinden door in te loggen op Office365. Hier staat nu de snelkoppeling.

Als je de Fortigate-ssl-vpn-tutorial handleiding hebt gevolgd, is nu de user en Identity Provider geconfigureerd. Nu moet alleen de Service Provider nog. Dat is in dit geval de Fortigate firewall. Nadat het certificaat in de Fortigate geïmporteerd is, kan de SAML configuratie starten.

Vergeet niet de SSL-VPN portal toe te kennen. De SAML authenticatie is voor de web-access en tunnel-access mogelijk.

Als laatste stap moeten we de firewall voorzien van een security policy. In ons geval willen we de SSL-VPN users toegang geven tot een specifieke applicatie server met een fileshare en een database.

Hoe je vervolgens vanuit de Office 365 portal inlogt naar de Fortigate? Bekijk onderstaande video voor een korte uitleg

Lees hier meer over de specifieke security tools:

Volg @lol.it.rofl op instagram voor je dagelijkse dosis IT-humor.