Catégorie : Securite

AKS | Managed Identity GA

Hello,

Il y a quelques mois j’avais pu écrire un article le sujet des managed identity pour un cluster AKS. Je vous invite à consulter cette article si vous souhaitez avoir plus de détails AKS Cluster Managed Identity

Depuis le début du mois de Mars, cette fonctionnalité est désormais disponible en General Availability, c’est à dire que vous pouvez utiliser cette fonctionnalité avec vos clusters de productions.

Dans cet article, je vous propose de déployer un cluster AKS avec cette fonctionnalités.

# Create an Azure resource group 
az group create --name aksdemomsi --location canadacentral

# Create an AKS cluster with managed-identity
az aks create -g aksdemomsi -n aksmsi --enable-managed-identity

Si nous connectons sur un des nodes de notre cluster, nous pouvons constater que le service principal qui était « hard-coded » dans le fichier /etc/kubernetes/azure.json n’est plus présent.

root@aks-nodepool1-83146928-vmss000001:/host/etc/kubernetes# cat azure.json
{
"cloud":"AzurePublicCloud",
"tenantId": "00000000-0000-0000-0000-000000000000",
"subscriptionId": "00000000-0000-0000-0000-000000000000",
"aadClientId": "msi",
"aadClientSecret": "msi",
"resourceGroup": "MC_aksdemomsi_aksmsi_canadacentral",
"location": "canadacentral",
"vmType": "vmss",
"subnetName": "aks-subnet",
"securityGroupName": "aks-agentpool-83146928-nsg",
"vnetName": "aks-vnet-83146928",
"vnetResourceGroup": "",
"routeTableName": "aks-agentpool-83146928-routetable",
"primaryAvailabilitySetName": "",
"primaryScaleSetName": "aks-nodepool1-83146928-vmss",
"cloudProviderBackoffMode": "v2",
"cloudProviderBackoff": true,
"cloudProviderBackoffRetries": 6,
"cloudProviderBackoffDuration": 5,
"cloudProviderRatelimit": true,
"cloudProviderRateLimitQPS": 10,
"cloudProviderRateLimitBucket": 100,
"cloudProviderRatelimitQPSWrite": 10,
"cloudProviderRatelimitBucketWrite": 100,
"useManagedIdentityExtension": true,
"userAssignedIdentityID": "9a9eb45f-5464-433d-ba76-ba5f9922fe2d",
"useInstanceMetadata": true,
"loadBalancerSku": "Standard",
"disableOutboundSNAT": false,
"excludeMasterFromStandardLB": true,
"providerVaultName": "",
"maximumLoadBalancerRuleCount": 250,
"providerKeyName": "k8s",
"providerKeyVersion": ""
}

On peut également constater la présence d’un nouvel objet Managed Identity dans notre ressource group:

Maxime.

Azure Security Center | Workflow Automation

Hello,

Dans cet article, je vous présente comment automatiser la réponse à des alertes de sécurité émises via l’aide ATP, ou encore comment automatiser des réponses à des recommandations de sécurité émises par Azure Security Center. Cette fonctionnalité est encore en pré-version, au moment où j’écris cet article.

Dans un premier temps, nous allons créer une Logic Apps, qui nous permettra d’envoyer un message sur notre channel de sécurité Slack.

Ensuite, afin d’activer cette fonctionnalité, je vous donne rendez-vous dans la console Azure Security Center. Je vous invite à sélectionner « Workflow automation » puis « Add workflow automation ».

Dans cet exemple, notre Logic Apps sera exécutée pour toutes les alertes possédant un niveau de sécurité de Medium ou High. Il est bien sûr possible d’effectuer des filtres sur des alertes spécifiques via le champs « Alert name contains ».

Une fois vos modifications réalisées, vous pouvez désormais constater la présence d’un nouveau workflow avec son statut « Enabled ».

Ci-dessous un exemple d’une notification Slack:

Avec l’aide des Logic Apps, il est tout à fait possible de créer des scénarios plus complexes, vous permettant d’exécuter des Azure Functions, afin d’automatiser votre réponse à incidents.

Maxime.

Azure Security Center | Continuous Export

Hello,

Dans cet article, je vais vous présenter la fonctionnalité « Continuous Export » présente dans Azure Security Center. Cette fonctionnalité est en pré-version au moment où j’écris cet article.

Cette fonctionnalité va vous permettre d’exporter vos alertes de sécurité et recommendations de sécurité avec l’aide EventHub vers une solution de type SIEM (IBM QRadar/Splunk par exemple).

Pour cela ,je vous invite à vous rendre dans la console Azure Security Center, puis à sélectionner « Pricing & Settings », sélectionner votre souscription et cliquer sur « Continuous export (Preview) »

Il est important de noter que vous devez préalablement avoir déployé un Event Hub, et configuré un event namespace et une policy en amont. La policy devra avoir les permissions: « Listener and Send ».

Si vous le souhaitez il est également possible d’exporter vos alertes de sécurité dans un fichier CSV.

Maxime.