lunes, 28 de noviembre de 2022

Levántate, configura cumplimiento de ISO 27001 en Azure, vete a desayunar

 

Pues sí, con Azure puedes levantarte, encontrar que ya tienes creada una suscripción, aplicar la ISO 27001:2013, la UKOFFICIAL and UK NHS y la Australian Government ISM Protected y salir para la oficina.

A la hora de cumplir ciertos requisitos o políticas propias de la compañía, poca gente sabe que se pueden crear esas lineas generales de cumplimiento o advertencia a través de las Políticas.


A mí personalmente me gustan las políticas que obligan a que se utilicen ciertas etiquetas o advertir, e incluso configurar automáticamente, el  backup de VMs que cumplan ciertos criterios que les identifican como VMs en producción.

Cumplir la ISO 27001

A lo que iba. Hay una forma no solo de crear ciertas políticas, sino de crear toda una batería de ellas que sumadas todas, nos hacen cumplir buenas prácticas, tales como los Microsoft Managed Controls (hay más de 1.600 plantillas de securización de entornos)

azure-policy/built-in-policies/policyDefinitions/Regulatory Compliance at master · Azure/azure-policy (github.com)

azure-policy/built-in-policies/policyDefinitions at master · Azure/azure-policy (github.com)

La cuestión es que un buen número de políticas prediseñadas que se engloban para cumplir una norma, en Azure se llama Policy Initiatives y a través de esta opción, es muy muy fácil que apliques cumplimiento de toda una ISO 27001: 2013 con un par de clicks.

Resultado tras aplicación de lo que ahora vais a ver.


Ejemplos de advertencias:



Configuración paso a paso:

Para aplicar esto, solo tienes que seguir los siguientes pasos:

1. Ve a tu suscripción y elige políticas (Policies) en el grupo de opciones de configuración.


2. Dentro de las opciones de políticas, encontrarás la opción de cumplimiento y podrás elegir Asignar iniciativa.


3. Una vez allí, solo tendrás que configura el alcance (Scope) y  en Basis, elegir la iniciativa que quieres cumplir.


3.1 Tendrás la opción de no activar esto por el momento y dejarlo solo emitiendo advertencias que lo que sería, si lo activases :) o sea en modo auditoría. Esto se consigue teniéndolo desactivado.



4. Podrás parametrizarlo un poco a tu entorno. Por ejemplo configurando si tienes Azure Arc o no.


5. Podrás revisar también los avisos y advertencias que trae la norma de cumplimiento.


Saludos.


viernes, 25 de noviembre de 2022

Inmutabilidad de copias en Azure Backup

 

Hola, 

Abro aquí el primero de dos posts, donde hablaré de Inmutabilidad en Azure. En este primer artículo, me centraré en la inmutabilidad en el servicio de Backup, la cual está actualmente en preview.

La opción en cuestión, la tenéis en las propiedades del Recovery Service Vault que utilices.

Sobra decir, que Azure backup puede ser también nuestro sistema de copia de seguridad de servidores e información On Premise, ya que Microsoft integró 

Una vez allí puedes habilitar la inmutabilidad en dos fases que describo a continuación.


  •  Inmutabilidad habilitada pero no bloqueada "Not Locked"
Con esta configuración tendremos inmutabilidad en nuestro sistema de almacenamiento del backup y nadie podrá variar los archivos e información resultante del backup mientras dure el tiempo de retención de la política que hemos aplicado. 

Esto significa que si tenemos una retención de 7 días y una copia el último día del último mes, esta información desaparecerá progresívamente tras este tiempo y está garantizado la integridad del dato salvado, sabiendo que es exactamente el que se salvó, sin que el ransomware u otra clase de peligros, pueda cifrarlo dado que en sí, esto es una varación del datos.




  •  Inmutabilidad habilitada y bloqueada "Locked"
habilitar el Locked está lleno de advertencias y es que una vez activemos esta opción, nada ni nadie podrá borrar la información salvada mientras no venza. Esto significa que si tenemos un backup con retención 2 años, tendremos dos archivos pertenecientes al 31 de Diciembre de los dos últimos años y estos solo se borrarán llegado los dos años posteriores. Nosotros mismos como administradores, no podremos borrar esta información aun eliminando la máquina virtual, su backup e incluso la baja de la suscripción de Azure. 
Tendremos por tanto asegurado y que acarrear el pago de la información salvada durante el tiempo de retención.


 

Aquí tenéis copias de mis máquinas virtuales, una vez he parado el backup de las mismas. Podréis apreciar que no aparece la opción de eliminar la información. De hecho, al eliminar el backup de la máquina, me ofrece dos opciones; una es eliminar la información tras el periodo de retención y otra es guardar la información para siempre.



martes, 22 de noviembre de 2022

Actualización de NPS MFA Extension

 

Hola, 

He visto que Microsoft ha actualizado la extensión MFA (Azure AD) en su Radius. El rol  NPS ahora soporta MFA con seguridad frente a MFA Fatigue.

Ejemplo de uso en granja RDS: HybridCPD: Doble Factor (Azure AD) en Servicio Remote Desktop Gateway




Como la extensión NPS no puede mostrar el código que debe coincidir, se les pedirá a los usuarios que ingresen una contraseña de un solo uso (OTP) utilizando la aplicación Microsoft Authenticator o el token de software/hardware. Si el usuario no tiene un método OTP registrado, continuará obteniendo la experiencia de aprobar/denegar. Puedes anularlo usando la siguiente clave de registro (use la cadena exacta, incluido el caso):

Clave de registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa
Tipo de clave: Cadena
Nombre clave: OVERRIDE_NUMBER_MATCHING_WITH_OTP
Valor clave: VERDADERO

La documentación oficial aun no está actualizada, pero espero que lo esté en breve.



Version 1.2.2131.2 of the Azure MFA NPS Extension adds the following additional functionality:

* Changed the default value of OVERRIDE_NUMBER_MATCHING_WITH_OTP from False to a Microsoft
  managed value. There is no change to the current authentication experience for users.
  Microsoft will begin enabling number matching for all users of the Microsoft Authenticator
  app starting 27th of February 2023. After this date, if your organization has not set the
  OVERRIDE_NUMBER_MATCHING_WITH_OTP value to False, your Microsoft Authenticator users will
  be required to enter an OTP code instead of the Approve/Deny push notification experience.
  More information can be found at aka.ms/numbermatchdoc.

Upgrade Considerations:
* Uninstall any older version before installing this version or expect to restart the server.
* Run the new NPS Extension installer and run the PowerShell script if needed.
  Restart NPS if PowerShell script is not run.

-------------------------------------------------------------------------------