Catégorie : Securite

Extraire les recommandations Azure Security Center

Bonjour,

Dans cet article, je vais vous présenter comment extraire les recommandations générées par Azure Security Center. Au moment ou j’écris cet article, la fonctionnalité est encore en « public preview »

Pour cela je vous donne rendez-vous au sein du service Azure Security Center, puis dans la section « Resource Security Hygiene », je vous invite à cliquer sur « Recommendations ». Vous désormais constater la présente d’un lien « Download CSV Report (Preview) ».

Maxime.

ACR | Rôle & Autorisation

Hello,

Dans cet article nous allons voir ensembles les différents « Rôle/Autorisation » que nous pouvons mettre en place pour notre registry : Azure Container Registry.

Rôle/autorisationAccéder à Resource ManagerCréer/supprimer le RegistrePousser (push) l’imageExtraire (pull) l’imageSupprimer les données d’imageChanger de stratégiesSigner les images
PropriétaireXXXXXX
ContributeurXXXXXX
LecteurXX
AcrPushXX
AcrPullX
AcrDeleteX
AcrImageSignerX

Vous pouvez ainsi constater que le rôle « Lecteur » est permissif, un utilisateur avec ce rôle peut « pull » l’ensemble des images Docker présentes au sein de la registry …

Maxime.

AKS | Cluster Managed Identity

Hello,

Dans cet article, nous allons voir ensemble comment déployer un cluster AKS utilisant les identités managées (Managed Identity). Le service est encore en public preview au moment où j’écris cet article.

L’objectif d’utiliser des identités managées au sein d’un cluster AKS est de pouvoir s’affranchir des services principaux qui ont une date d’expiration. Ce qui peut poser de nombreux problèmes de sécurité sur des clusters AKS de productions, rotation, expiration, …

AKS crée deux identités managées :

  • Identité managée affectée par le système : identité utilisée par le fournisseur de cloud Kubernetes pour créer des ressources Azure au nom de l’utilisateur. Le cycle de vie de l’identité affectée par le système est lié à celui du cluster. L’identité est supprimée en même temps que le cluster.
  • Identité managée affectée par l’utilisateur : identité utilisée pour l’autorisation dans le cluster. Par exemple, l’identité affectée par l’utilisateur sert à autoriser AKS à utiliser des enregistrements de contrôle d’accès (ACR) ou à autoriser le kubelet à obtenir des métadonnées d’Azure.

Etape 1 : Depuis Azure Cloud Shell https://shell.azure.com, nous activons les fonctionnalités preview AKS avec la commande suivante:

az extension update --name aks-preview
az extension list

Etape 2 : Souscrire à la fonctionnalité MSI Preview

az feature register --name MSIPreview --namespace Microsoft.ContainerService

az feature list -o table --query "[?contains(name, 'Microsoft.ContainerService/MSIPreview')].{Name:name,State:properties.state}"

az provider register --namespace Microsoft.ContainerService

Etape 3 : Créer son cluster avec les identités managées

# Création d'un ressource group
az group create --name aksmsi --location canadacentral

# Création du cluster AKS
az aks create -g aksmsi -n AKSMSICluster --enable-managed-identity

# On obtient les information pour se connecter au cluster
az aks get-credentials --resource-group aksmsi --name AKSMSICluster

Quelques rappels:

  • Les clusters AKS avec des identités managées ne peuvent être activés que pendant la création du cluster.
  • Il est impossible de mettre à jour ou de mettre à niveau des clusters AKS existants pour activer des identités managées.

Dans un prochain article, nous verrons ensemble comment utiliser les identités managées aux niveaux des Pods de notre cluster.

Maxime.