ACR | Zones de disponibilité

Bonjour,

Dans cet article, j’ai le plaisir de vous présenter une nouvelle fonctionnalité vous permettant d’augmenter la disponibilité de service de votre Azure Container Registry.

Dans un précédent article, j’avais pu vous expliquer comment activer la géo-réplication, il est désormais possible de bénéficier des zones de disponibilité pour votre Azure Container Registry.

Il vous faudra activer la fonctionnalité lors de la création:

Pour l’instant toutes les régions ne sont pas supportées et il vous faudra créer une Azure Container Registry avec un SKU « Premium ».

Maxime.

Checkov avec Github Action

Salut!

J’utilise très souvent l’outil open source Checkov afin de réaliser des scans du code que je développe pour les infrastructures que je réalise.

Checkov vous permet de scanner du code dit d’infrastructure as code (Les plateformes Azure, AWS et Google Cloud sont supportés) avec les languages suivants:

  • ARM
  • Terraform
  • Cloud Formation
  • Kubernetes
  • Serverless framework

L’outil vous propose par défaut plus de 400 checks de sécurité – https://github.com/bridgecrewio/checkov/blob/master/docs/3.Scans/resource-scans.md

Mais il est tout à fait possible de réaliser ses propres checks – https://github.com/bridgecrewio/checkov/blob/master/docs/5.Contribution/New-Check.md

Je vous propose de regarder ensemble comment nous pouvons intégrer checkov dans un workflow Github Action. Dans cet exemple notre scan d’exécutera lors d’un merge dans la branche master.

Vous trouverez ci-dessous le code que j’utilise pour mon workflow, libre à vous de l’adapter à vos besoins.

---
name: Checkov
on:
  push:
    branches: [ main ]
  pull_request:
    branches: [ main ]
jobs:
  build:

    runs-on: ubuntu-latest
    strategy:
      matrix:
        python-version: [3.7]
    steps:
      - uses: actions/checkout@v2
      - name: Set up Python ${{ matrix.python-version }}
        uses: actions/setup-python@v1
        with:
          python-version: ${{ matrix.python-version }}
      - name: Test with Checkov
        run: |
          pip install checkov
          checkov -d .

Je vous donne rendez-vous dans votre repository github, puis je vous invite à cliquer sur l’onglet ‘Actions’ puis « set up a workflow yourself ».

Copier/Coller le code précédent et cliquer sur « Start commit »

Enfin cliquer sur « Commit new file »

Notre workflow est désormais en place, il s’exécutera lors du prochain merge de votre code dans la branche « master ».

Ci-dessous un exemple d’un scan:

Maxime.

Azure Defender – Génération Alertes

Hello,

Dans cet article, je vais vous présenter comment générer des alertes de sécurité pour Azure Defender et ce directement depuis le portail Azure.

La génération d’alertes peut-être intéressantes si vous souhaitez réaliser des « Firedrills » par exemple.

Pour cela je vous donne rendez-vous au sein du service Azure Security Center, puis je vous invite à cliquer sur « Security Alerts » et enfin sur « Create sample alerts ».

Les alertes suivantes peuvent être générées:

  • App Service / Suspicious WordPress theme invocation detected
  • App Service / Phishing content hosted on Azure Webapps
  • App Service / Attempt to run high privilege command detected
  • AKS / Exposed Kubernetes dashboard detected
  • AKS / Container with a sensitive volume detected
  • AKV / Access from a TOR exit node to a Key Vault
  • AKV / High volume of operations in a Key Vault
  • AKV / Suspicious secret listing and query in a Key Vault
  • SQL / Unusual export location
  • SQL / Attempted logon by a potentially harmful application
  • SQL / Logon from an unusual location
  • SQL / Potential SQL injection
  • Storage / Unusual amount of data extracted from a storage account
  • Storage / Unusual change of access permissions in a storage account
  • Windows / Detected Petya ransomware indicators
  • Windows / Executable found running from a suspicious location

Maxime.