Nouvelles Chroniques d'Amethyste

Penser au Sens, pas au Verbe


Poster un commentaire

RTO et RPO

En cas de sinistre dans un système informatique on a deux façons de réagir:

  • On peut basculer sur un système de secours
  • On reconstruit l’environnement

 

Il n’y a pas un bon ou un mauvais choix, il dépend de votre situation: criticité du système, facilité de reconstruction, coût ou difficulté de maintenir un système doublon…

Dans tous les cas, deux indicateurs doivent être évalués et pris en compte:

  • RTO (Recovery Time Objective)
    Durée maximale d’interruption admissible
  • RPO (Recovery Point Objective)
    Durée maximale d’enregistrement des données qu’il est acceptable de perdre

Lire la suite

Publicités


Poster un commentaire

Création d’un pipeline d’intégration continue avec VSTS

Un tutoriel qui démontre de bout en bout un scénario de déploiement continue d’une application Web sur Azure avec Azure DevOps (anciennement appelé VSTS).

Nous allons construire le pipeline suivant:

  1. Compiler l’appli
  2. Lancer des tests unitaires
  3. Déployer sur Azure

Lire la suite


Poster un commentaire

La réplication sous Azure

Lorsqu’une ressource est créée sous Azure elle est répliquée au moins 3 fois.

Il existe plusieurs options qui sont, sauf oublie de ma part:

 

Elles ne sont pas forcément disponibles pour chaque ressource, par exemple on a pas de RA-GRS pour les File System.

Evidemment si vous créez des ressources Iaas, il vous appartiendra de gérer vous même la réplication. Azure ne s’occupe que des ressources qu’il créé lui-même.

 

Je propose de les passer en revue dans cet article. Rien de compliqué, mais une synthèse aide toujours à préparer une certification ou un entretien d’embauche.

Lire la suite


Poster un commentaire

Azure Managed Service Identity dans une application IASS

Dans les articles précédents de cette série je décris le service Azure Key Vault et démontre son utilisation.

Key Vault est je pense une brique importante de tout environnement Azure ou on premises sécurisé.

La brique qui manque à cet édifice est Managed Service Identity (MSI) dont j’ai fais la présentation dans l’article suivant:

https://amethyste16.wordpress.com/2018/10/06/msi-une-solution-moderne-pour-acceder-au-vault-azure/

 

La présentation concerne le cas d’un web apps et peut facilement se généraliser aux Azure Function.

Je voudrai maintenant montrer comment MSI s’intègre dans un contexte IAAS, donc sur une VM Azure.

Lire la suite


Poster un commentaire

MSI: une solution moderne pour accéder au Vault Azure

L’article précédent fut l’occasion de voir le service Key Vault en œuvre. Vous vous souvenez que l’authentification s’effectuait grâce à des credentials déployés dans les fichiers de configuration.

Ce qui est paradoxal, car Azure Key Vault est justement supposé servir à protéger ses données sensibles. On se retrouve là face à un classique problème de logistique du dernier kilomètre.

Le certificat résout (partiellement) le problème car la solution repose sur un élément déployé localement en dehors de l’application. Mais ce n’est clairement pas une solution complète. On veut que TOUT soit transparent pour l’appli et ne rien déployer de sensible sur le poste utilisateur.

 

C’est ici qu’intervient MSI (Managed Service Identity) qui va résoudre se problème et libérer le code et la configuration de toute référence explicite à des credentials. Nous gardons le vault, mais ajoutons MSI pour sécuriser l’authentification.

Vault + MSI est un pattern vers lequel Microsoft commence à pousser, il est donc important de le connaître si vous faîtes du dev sous Azure.

 

Voyez cet article comme la suite du précédent que je conseille de relire, ne serait-ce que pour être iso avec la configuration.

 

Dans ce premier exemple nous nous limiterons à son intégration dans le cadre d’une Web Apps. J’aborde le cas des solutions IAAS dans l’article qui suivra.

Lire la suite


Poster un commentaire

Azure Key Vault, le point de vue de C#

Le service Azure Key Vault a été présenté dans l’article précédent

Pour rappel Azure Key Vault est un conteneur permettant de stocker de façon sécurisée:

  • des secrets
  • des clefs
  • des certificats

 

Il reste maintenant à voir comment on y accède.

Microsoft fournit un SDK complet dont je ferai une petite démo dans laquelle je démontre la façon de lire et utiliser les secrets, les clefs et les certificats.

L’article montrera également comment se loguer au vault avec Azure AD et un certificat.

L’article qui suivra celui-ci démontrera une troisième méthode avec MSI.

 

Note: pour la suite, on supposera le vault configuré comme indiqué dans la section Authentification Azure AD.

 

Dans lequel l’appli Azure AD est déclarée comme principal.

IMPORTANT: il faudra donner des permissions pour accéder aux keys et aux certificat sinon cela ne marchera pas. Pour une démo je coche tout, dans la vie réelle on limitera les permissions:

 

 

 

Note: Il est également possible d’accéder à AKV via PowerShell ou REST

 

Vous trouverez le code complet dans le projet DemoAKV3 de mon espace GitHub:

https://github.com/DeLeneMirouze/DemoAKV

Il s’agit d’une application Console.

Lire la suite


Poster un commentaire

Le service Azure Key Vault

Azure Key Vault (AKV) est un service important et sous utilisé à mon avis. Il est à la base d’importants patterns de sécurité dans Azure ou en on premises.

 

AKV est un outil d’outsourcing d’informations sensibles comme les certificats, les mots de passe, les chaînes de connexion… L’idée est de décorréler le code source ainsi que l’équipe de dev et de déploiement de ces informations qui seront gérées par d’autres personnes tout en fournissant un moyen standardisé d’y accéder pour vos applications.

Le service offre donc une gestion centralisée de vos informations sensibles, mais aussi d’en surveiller leur usage et le contrôle. Terminé les mots de passe dans la nature un peu partout!

 

Avec Azure Key Vault pour pouvez également crypter/encrypter de façon sécurisée, signer, valider des clefs… Bref une boîte à outils indispensable pour votre stratégie sécurité.

 

Je vais présenter dans cet article les points essentiels du service. D’autres articles vont suivre pour présenter des cas concrets d’utilisation en particulier Managed Service Identity. Je pense que l’on sera amené de plus en plus souvent à utiliser ce service d’où l’importance de savoir l’utiliser.

Lire la suite