;

Azure Days 2018, díl druhý: Cloud musí poskytnout bezpečnost a plnou kontrolu

3. 4. 2018
Doba čtení: 7 minut

Sdílet

 Autor: Jan Mazal, ChannelWorld
Přinášíme vám druhý díl rozsáhlé reportáže z dvoudenní konference Azure Days 2018 organizované společností VPGC ve spolupráci s českou pobočkou Microsoftu.

Přinášíme vám druhý díl rozsáhlé reportáže z dvoudenní konference Azure Days 2018. První díl, ve kterém pokrýváme úvodní a obecná témata, najdete zde. Nyní se podíváme na vybrané prezentace, které přiblížily konkrétní možnosti a vlastnosti platformy Azure.


Azure Stack umožní nasazení do vlastního datacentra

Pokud jde o databáze, Azure je poskytuje coby platformní službu s SLA 99,99 % a bezvýpadkovým škálováním. V podobě virtuálního stroje lze v Azure provozovat MySQL, PostreSQL, Oracle nebo MongoDB. Z platformních služeb pak Azure podporuje MySQl, PostgreSQL a CosmoDB.

V rámci služby Container Service může zákazník v rámci Azure nasadit Kubernetes, přičemž platí pouze za spotřebované zdroje a nikoliv za samotnou službu. A pokud chce mít zákazník Azure ve vlastním datacentru, může využít Azure Stack s identickou architekturou coby privátní cloud.

Jedná se o kombinaci IaaS a PaaS, které běží na předdefinované infrastruktuře od výrobců Dell EMC, HPE, Lenovo či Cisco. Prostředí je pravidelně aktualizované, běží ve stejné verzi jako veřejný cloud Azure a nabízí jednotný portál pro správu obou prostředí.

Petr Suchánek shrnul základní scénáře využití Azure, mezi které spadá především infrastruktura na Windows nebo Linuxu. Azure umožňuje například přesun databází (lift and shift), vytváření projektů od píky v cloudu nebo scénáře pro projektové využití GPU, HPC, zálohování či archivaci.

Díky sadě nástrojů Operation Management Suite umožňuje Azure hybridní správu a podporu lokálních i cloudových prostředí včetně správy logů, monitoringu, správy aktualizací a záplat a samozřejmě také zabezpečení.

Kromě toho Azure poskytuje možnost provozovat databáze a nabízí flexibilní prostředí pro vývoj a testování aplikací. V neposlední řadě pak mezi typické scénáře patří provoz ERP systémů (například SAP on Azure), analýza velkých dat (například Hadoop) nebo internet věcí.

Kompletní přednášku Petra Suchánka Směr, jak změnit pohled na IT můžete zhlédnout na videu, případně si ji stáhnout jako pdf

Azure Days 2018

Kontrola nad přístupy přes Active Directory

Na pódiu se znovu objevil Tomáš Kubica z Microsoftu s prezentací na téma governance a identita aneb jak si udělat v Azure pořádek. Zákazníky může v tomto ohledu potěšit, že řešení Active Directory (AD) používané pro správu identit existuje i v Azure.

Vlastní AD lze synchronizovat do Azure AD a využívat vícefaktorovou autentizaci, aplikační proxy, sledování identit a podezřelé aktivity. Následně lze nastavovat důvěru i pro zákazníky a partnery, kteří používají Azure AD, případně mají Office 365.

Registrací do cloudového AD se organizace dostane do Microsoft Graph API pro integraci a automatizaci, přičemž každé předplatné v Azure je navázané na konkrétní identitu. Přiřazování rolí a práv uživatelům či skupinám je možné na předplatné, skupiny zdrojů nebo jednotlivé zdroje.

V AD jsou předdefinované různé typy účtů včetně servisních, přičemž Azure AD podporuje i „sudo pro cloud“, tj. admin, který potřebuje například debuggovat, si může podat žádost a po jejím schválení (na základě přednastaveného procesu) získá na omezený čas vyšší práva pro dané úkony.

Celou přednášku s názvem Udělejte si pořádek ve vašem Azure si můžete prohlédnout jako video nebo si ji přečíst v pdf.

Tomáš Kubica

Formální i praktické zabezpečení

Petr Suchánek v souvislosti s tématem GDPR a compliance zdůraznil potřebu prověřovat poskytovatele cloudových služeb ohledně souladu s předpisy a být náročný v požadavcích na celkové zabezpečení.

Azure může podle Suchánka pomoci s formální důvěryhodností i technickým řešením. V prvním případě se jedná o certifikace Microsoftu a platformy Azure, veřejné výsledky auditů, dokumenty o osvědčených postupech nebo vzorové oborové rizikové analýzy.

V druhém případě Azure nabízí vysokou dostupnost služeb a obnovu po haváriích, řízení přístupu, komplexní a jednotný dohledový systém, nativní šifrování služeb, možnost využít vlastní šifrovací klíče (Azure Key Vault – HSM Thales), anonymizaci dat a vícefaktorovou autentizace).

Tomáš Kubica poté ukázal v Azure Security Center vyhodnocování bezpečnostní událostí a jejich logování včetně nabídky zdrojů o těchto událostech a rad, jak na ně reagovat. Předvedl také snadnost propojení Azure s firewallovým serverem nebo next-gen firewallem od třetí strany.

Celou prezentaci GDPR a compliance můžete zhlédnout na videu nebo si ji stáhnout ve formátu pdf.

Azure coby základ partnerských řešení

Ondřej Výšek ze společnosti KPCS pak coby případovou studii představil bezpečnostní dohledové řešení ATOM (Advanced Threat & Organization Monitoring), které KPCS postavilo na Azure za použití vlastních zkušeností z trhu a s ohledem na dosažení souladu s předpisy.

ATOM lze podle Výška nasadit během pěti minut, reporty jsou k dispozici po prvním týdnu. Řešení lze napojit na existující systémy a placení probíhá na modelu pay-as-you-go. Licence do pěti serverů je zdarma, standardní měsíční plán činí 19,95 € na server a prémiový plán stojí 59,95 € na server.

Užitečnost takového řešení Výšek ilustroval příkladem zákazníka, kde útočník skenoval RDP porty, podařilo se mu uhodnout heslo admina a na servery pak rozšířit bitcoin miner. ATOM by podle Výška v každém kroku útočníka zachytil podezřelou aktivitu, zalogoval události a upozornil by zákazníka.

Celou případovou společnosti KPCS o řešení ATOM najdete na videu, případně si ji můžete stáhnout jako pdf.

Zkrocení zlých nákladů a vysoká dostupnost

Azure díky akvizici Cloudynu v roce 2017 nabízí také nástroje pro řízení, plánování a sledování nákladů s nástroji poskytujícími návrhy na úspory, predikce, správu i srovnání nákladů v ostatních cloudech.

Hlavním poselstvím těchto prezentací bylo ukázat účastníkům, že v rámci Azure má zákazník – případně poskytovatel řízených služeb – plně pod kontrolou nejen funkce samotných služeb, ale také jejich zabezpečení a přístupy k nim, stejně jako celkové náklady.

Více informací týkajících se správy a řízení nákladů najdete v záznamech prezentace Vlastimila Tesaře na téma Jak vypadá Azure portál a souvisejícího vystoupení Davida Moravce s názvem Azure cost management.

První den pak zakončil Radim Vaněk, který promluvil o vysoké dostupnosti/SLA na úrovní datacetra, infrastruktury a aplikací a předvedl va všechny možnosti lokální a globální podpory.

Pro virtuální stroje s jednou instancí garantuje Microsoft dostupnost minimálně 99,9% času. Pro všechny virtuální stroje, které mají ve stejné skupině dostupnosti nasazeny dvě a více instancí, zaručuje dostupnost 99,95 % času. Dovoluje také geografickou redundanci pro vyšší dostupnost.

Celou Vaňkovu prezentaci s názvem Spolehlivost na prvním místě si můžete pustit na videu nebo stáhnout jako pdf.

Během celého dne probíhaly také prezentace partnerských řešení od globálních dodavatelů, jako jsou Barracuda, CiscoFortinet, F5 Networks, Commvault a Veeam, kteří vyvíjejí technologie dostupné také v prostředí Microsoft Azure.

ICTS24

Kompletní materiály z konference najdete na webu azuredays.eu.

Zdroj: ChannelWorld