技能解封中間章程-城內防禦機關重啟(Azure Policy)

前言

https://ithelp.ithome.com.tw/articles/10214082

成本評估

Azure 原則為免費

Azure Policy Q&A

哪些區域可使用 Azure 原則？

Azure 原則已在所有提供 Azure 的區域正式推出，包括國家雲端。

可以自建原則嗎？

可以。Azure 原則隨附一組內建原則，但您也可以建立自訂原則。

Azure 原則支援哪些 Azure 資源？

所有 Azure 資源。

可排除資源或訂用帳戶嗎？

可從原則指派中排除資源、資源群組、帳戶訂閱或管理群組。

服務架構

上一篇章RBAC多屬於人為本身的權力委派控制這段，而最終目的還是資源，故回歸保護監視限制在訂閱->資源群組->資源本身的政策執行的保護就是此服務的優勢。

簡易實測環境

僅 Allowed storage account SKUs 來做為示範

以下是透過已提供的 JSON 檔作為範例：

https://docs.microsoft.com/en-us/azure/governance/policy/samples/allowed-storage-account-skus

圖1. 透過此範本來做佈署，最下面有個 Azure Portal 佈署按鈕

圖2. 選擇範圍(通常是整個訂閱為主，並建立新項目名稱這樣日後自訂的都可以放此比較好辨識)

圖3. 確認剛剛設置的原則在自訂類型確實已建立

圖4. 套用剛剛建立的原則

圖5. 除了指派套用剛剛的原則外重要的是下面允許的SKU (我只允許標準LRS層級其餘皆不允許)

圖6. 最後範圍地區我選擇了美國東部(也就是整個訂閱下只要是美國東部地區建立儲存體都不允許標準層LRS以外的建立)

圖7. 指派建立完成

圖8. 在美國東部示範建立儲存體選用標準層LRS以外的等級(此時還沒經過原則偵測顧驗證是正常)

圖9. 有了，很明顯寫到原則限制讓此次建立失敗，可以套用各公司企業避免無預警誤建或亂建導致成本上升的情事

圖10. 進一步看就會檢視到JSON檔裡僅允許的層級，此層及以外的都擋掉

技能解封中間章程-角色權力保衛戰(RBAC)

前言

https://ithelp.ithome.com.tw/articles/10214081

RBAC Q&A

自訂角色的問題

如果無法更新現有自訂角色，請檢查目前登入的帳戶是否已獲指派具有Microsoft.Authorization/roleDefinition/write許可權角色如：擁有者或使用者存取系統管理員。

訂用帳戶在租用戶間遷移如何復原 RBAC

如何將訂用帳戶轉移至不同 Azure AD 租使用者參考如下文件https://docs.microsoft.com/zh-tw/azure/billing/billing-subscription-transfer
如將訂用帳戶轉移至不同的 Azure AD 租用戶，所有角色指派都會從來源 Azure AD 租用戶被移除，且不會遷移至目標 Azure AD 租用戶。須在目標租用戶自行重建角色指派。
如你是 Azure AD 全域管理員且租使用者間移動後無法存取訂用帳戶，則可透過Azure 資源存取管理切換提高訂用帳戶存取權。

偵測不到 RBAC 的變更

建立或刪除指派角色等變更可能需要 30 分鐘的時間才會生效顯示。無論是Azure Portal、Azure PowerShell 或 Azure CLI，請透過登出再登入來強制重新整理角色指派變更。

服務架構

RBAC 可把組織角色權責最小化，僅給予作業服務標的本身所需的存取權限。除了一至兩組最高管理員外其餘接不授與他人訂閱帳戶或資源本身無限大的存取權限，應該僅允許限制在特定範圍內執行特定動作。

下圖所示，我們可以運用 RBAC 建立角色指派來控制資源存取。角色指派包含以下三項組成：
* 安全性主體 – 可當作是種物件，作為要求存取資源中的發起者，包含：用戶、群組、服務主體或受控識別。
* 角色定義 – 為權力的集合。也就是我們常說的角色。不管哪種角色細分都一定有每個的執行作業，如：讀取、寫入和刪除。而角色本身除了帳戶擔任外也可以是服務資源如：虛擬機讀取。
* 範圍 – 套用存取權給一個所指定的資源範圍。如：從上至下層級範圍分別是管理群組 -> 訂用帳戶 -> 資源群組 -> 資源。範圍結構本身是父子式關聯性擁有繼承關係。

簡易實測環境

圖1. 進到Azure 訂閱服務，在此訂閱點擊此

圖2. 找到IAM存取控制就會看到實務上所需要只配角色授權任務的介面

圖3. 這是之前測試已有的角色權限帳戶

圖4. 來新增一個試試，請選擇新增角色指派

圖5. 這就是琳琅滿目個權限角色!一般標準常用都是前三組，依各組織環境需求調整

圖6. 目標對象第一項是對帳戶或群組(一般常用)

圖7. 如果是帳戶或群組以外這些服務資源會需要另外綁定受控識別，詳細說明如下：

Azure 資源受控識別會在 Azure Active Directory 中為 Azure 服務提供自動受控識別。我們可使用此身分識別來向任何支援 Azure AD 驗證的服務進行驗證，無需任何你程式碼中的認證。

https://docs.microsoft.com/zh-tw/azure/active-directory/managed-identities-azure-resources/overview

圖8. 從指派的帳戶比較就會看到如果是其他非此訂閱目錄下的帳戶成員指派時都會標註(Guest)在既有目錄下的 AAD 帳號或是群組指派則不會.

補充：如果是 Guest 則會需要收到一封驗證確認信並點選連結才能成功綁定為此訂閱的角色成員

圖9. 透過檢查存取功能可以查看某帳戶的權限狀況

圖10. 進一步可以檢視到此帳戶的實際權限

圖11. 每種權限都有更細的的功能(有可以透過此判別權限給予上再專案實際層面上是否適當)

圖12. 檢視每個功能的讀寫與刪除的各自細部功能支援性

圖13. 在傳統管理員上實際僅針對舊版ASM的服務有用(預設因為此帳號為一開始申請加入就會賦予)

圖14. 示範一下加入共同管理員權限，這次改選擇共同管理員

圖15. 指定一組來新增

圖16. 新增完成如下

圖17. 透過角色可以回頭統計各個角色的用戶或群組數量

圖18. 最後還有個拒絕指派

圖19. 不過此功能並非從此可以設置，另外要做此功能請確認有以下權限角色

圖20. 答案揭曉，此功能是需要透過藍圖這功能範本來佈建的(與原則，政策視為同一類稽核保護服務)

圖21. 上述都是訂閱本身的IAM，此圖是在資源群組下，可以透過範圍來檢視，可以看到訂閱就設置的會有繼承概念，而此資源群組才設置的就只在此資源

圖22. 以下就是更侷限此虛擬機器，觀念同上

技能解封初始篇章-暴力黃袍加身(Privileged Identity)

前言

https://ithelp.ithome.com.tw/articles/10213979

成本評估

Privileged Identity 依下列定價面向計費：

Azure Active Directory 共有四種版本：Free、Office 365 應用程式版本、Premium P1 及 Premium P2。Azure 訂用帳戶即包含免費版。您可以透過 Microsoft Enterprise 合約、開放大量授權計劃與雲端方案提供者計劃取得 Premium 版本。

Azure 及 Office 365 訂閱者也可以線上購買 Azure Active Directory Premium P1 or P2。於此處登入購買。

企業版本類型一次滿足

常見E1 / E3 / E5 功能比較(本次驗證為 E5 約NT$1,135.00 每個用戶/月)

總結上述功能需求需要以下任意授權才能開始使用

Azure AD Premium P2
Enterprise Mobility + Security (EMS) E5
Microsoft 365 M5

前置作業

Azure 管理員需要有全域管理權限外並有上述之一的授權
建立幾組帳戶可以測試比對之用

簡易實測環境

圖1. 從Azure Portal上搜尋"Privileged Identity"

圖2. 選擇此後按下建立

圖3. 建立完成可以釘選至左列表中方便操作

圖4. 預設的登入畫面中間的簡介說明了以下的新功能服務文件列表(可以拿掉勾勾關閉它)

圖5. 一開始需要對目前的帳戶目錄做身份驗證

圖6. 需要對此帳戶做驗證動作

圖7. 指定你能收到簡訊的手機,下一步繼續

圖8. 驗證進行中

圖9. 驗證完成

圖10. 驗證登入(按No不記憶密碼)

圖11. 驗證完成

圖12. 需要執行同意動作

圖13. 同意註冊完成後就可以開始正常使用PIM

圖14. 查看成員地方可以看到原來已經在上面的帳戶及所賦予的權限(均為永久啟用)

圖15. 警示地方也發現到過多的全域管理員帳戶過多的問題,可能需要視需求調整改善

圖16. 個別帳戶可以看到其每個角色的歷程紀錄以及透過長條統計各角色的數量

圖17. 我們可以從快速入門開始進行指派權限的作業

圖18. 加入成員前先選擇指定的角色權力(我選擇安全性讀取)

圖19. 選擇指定的成員

圖20. 選擇完成會顯示類型為"合格"

詞彙或概念	角色指派類別	說明
合格	類型	需要使用者執行一或多個動作才能使用角色的角色指派。如果使用者已有資格使用角色，即表示他們可以在需要執行特殊權限工作時啟用該角色。使用者不論是具有永久角色指派還是合格角色指派，獲得的存取權並無差異。唯一的差異在於有些使用者並不一直需要該存取權。
作用中	類型	不要求使用者執行任何動作即可使用角色的角色指派。指派為有效的使用者具有指派給角色的權限。
啟用		此程序會執行一或多個動作，讓使用者使用有資格使用的角色。動作可能包含執行多重要素驗證 (MFA) 檢查、提供業務理由，或是向指定的核准者要求核准。
已指派	State	具有作用中角色指派的使用者。
已啟用	State	具有合格角色指派、已執行動作來啟用角色，且目前為作用中的使用者。啟動後，使用者便可在必須加以重新啟動之前，先為預先設定的期限使用該角色。
永久合格	Duration	使用者一律有資格啟用角色的角色指派。
永久有效	Duration	使用者一律可以使用角色而不需執行任何動作的角色指派。
合格過期	Duration	使用者有資格在指定的開始和結束日期內啟用角色的角色指派。
有效過期	Duration	使用者可以在指定的開始和結束日期內使用角色而不需執行任何動作的角色指派。
just-in-time (JIT) 存取		一種模型，使用者會在其中獲得臨時權限以執行特殊權限的工作，這可防止惡意或未經授權的使用者在權限過期後取得存取權。只有當使用者需要時才會獲得存取權。
最低權限存取的原則		建議的安全性做法，每位使用者只會獲得所需的最低權限，以便完成他們獲得授權而可執行的工作。這種做法只需要最少量的全域管理員，並會改為針對特定案例使用特定的管理員角色。

圖21. 我們可以針對帳戶做權限檢閱

圖22. 重新在檢視成員會看到啟用的地方有原本合格(有時效性)與永久

圖23. 透過精靈示範把原來既有的成員帳戶轉至合格類型

圖24. 任選一帳戶

圖25. 將此帳戶從永久轉成合格

圖26. 此帳戶已經指派為合格類型

圖27. 合格轉換流程已完成

圖28.當然你也是可以把原來的合格時效性轉為永久

圖29. 設置完成

圖30. 也會同時收到調整的PIM警示通知

圖31. 而如果你嫌警示通知煩人也是可以解除掉的

螢幕快照 2019-09-18 11.50.25.png

技能解封初始篇章-資源環境風險漏洞(Conditional Access)

前言

https://ithelp.ithome.com.tw/articles/10213976

成本評估

Conditional Access 依下列定價面向計費：

Azure 及 Office 365 訂閱者也可以線上購買 Azure Active Directory Premium P1 與 P2。於此處登入購買。

企業版本類型一次滿足

常見E1 / E3 / E5 功能比較(本次驗證為 E5 約NT$1,135.00 每個用戶/月)

總結 AAD Premium P1 含以上而Office 需要至 E5 可用此功能。

前置作業

執行帳戶本身需有全域管理員權限才能執行 AD 使用者與群組功能

Conditional Access Q&A

明明已經設置原則但均未生效套用至使用者時該如何解決？

下列其他資訊是選擇性的, 但有助於縮小特定案例的範圍。

雲端應用程式或動作
IP 位址
Country
裝置平台
用戶端應用程式 (預覽)
裝置狀態 (預覽)
登入風險

螢幕快照 2019-09-17 10.25.53.png

將套用原則

上述清單會顯示條件下的存取原則。同時含蓋適用的授權和Session控制。如：需要多重要素驗證才能存取特定應用程式。

不適用的原則

上述清單會顯示條件下的存取原則。當套用條件會涵蓋任何原則其不適用的原因。如：可從原則中排除使用者與群組。

服務架構

雲端安全性關鍵在於人員，故身分識別和存取在現代化使用資訊行為都透過各種裝置和應用程式、從任何位置環境下都能存取企業組織的重要資源。所以只將重點放在誰能存取或誰不能存，已經無法在足夠掌握其安全。為了掌控安全與商務生產力間的平衡，在進行存取控制決策時，也須考量資源存取因素。

簡易實測環境

圖1. 在Azure AD 找到條件式存取

圖2. 預設的原則如下包含有對管理者或使用者帳戶個別做MFA強制保護等.

圖3. 以下是針對管理者有哪些權限類型都會被一次強制套用的範圍清單

圖4. 本次是透過自訂原則來示範，先從要對何人(用戶或群組均可)我選擇指定的群組

圖5. 裡面排除掉某帳戶不在此限制

圖6. 接下來就是對什麼雲端應用程式，我指定透過Application Proxy來發佈的網站

圖7. 選擇風險性類型

圖8. 指定的平台才允許登入存取應用程式

圖9. 強制授權下的執行原則

圖10. 都完成後就啟用原則

圖11. 補充一下地區的部份會需要事先設置信任的IP或是可指定哪些國家地區

圖12. 舉例信任台灣地區才允許連線

圖13. 信任地區設置完成

圖14. 再回到剛剛的條件存取原則在位置地方指定僅允許台灣

上述就是標準的條件存取設置的步驟示範(大家可以再自行測試練習)

技能解封初始篇章-內鬼授權加持(Dynamic Groups)

前言

https://ithelp.ithome.com.tw/articles/10213975

成本評估

Dynamic Groups 依下列定價面向計費：

Azure 及 Office 365 訂閱者也可以線上購買 Azure Active Directory Premium P1 與 P2。於此處登入購買。

企業版本類型一次滿足

常見E1 / E3 / E5 功能比較(本次驗證為 E5 約NT$1,135.00 每個用戶/月)

總結 AAD Premium P1 含以上 / Office E3 含以上即可用此功能。

前置作業

執行帳戶本身需有全域管理員權限才能執行AD 使用者與群組功能

簡易實測環境

圖1. 新增群組類型選擇安全性，而預設已指派(靜態)改成員資格類型為動態(我以使用者為例)

圖2. 指派在此群組下的帳戶

圖3. 接下來規則判斷處有非常多的判斷條件內容，而同樣也是透過布林值來做邏輯判別

圖4. 我建立兩筆分別是城市居住地是要在台北另外公司部門涵蓋科技整合服務處

圖5. 設置完成(原本指派兩人增至四人)，方便需要比對辨識用

圖6. 建立完成就多了一組動態群組

圖7. 對此群組也給予AAD P2授權，也就是當在這群組的成員帳戶都能直接繼承此權限

圖8. 群組權限設置完成

圖8. 已其中一組帳戶為例，從資訊欄位看到部門與地區都是空值，所以即使有被指派到Dynamic DG 群組中正常也沒有授權才是對的！

圖9. 沒錯，此用戶的確並無套用群組

圖10. 沒有群組當然就沒有所謂的授權了！

圖11. 我現在手動在此帳戶的資訊欄位補上台北(地區)與科技整合服務處(部門)

圖12. 經過十幾秒的時間再回來看此帳戶的群組已經被自動繼承

圖13. 此帳戶AAD P2 授權也已經被群組繼承指派，功能已經生效無誤

技能解封初始篇章-攔截應用服務(Application Proxy)

前言

https://ithelp.ithome.com.tw/articles/10213973

成本評估

Application Proxy 依下列定價面向計費：

Azure 及 Office 365 訂閱者也可以線上購買 Azure Active Directory Premium P1 與 P2。於此處登入購買。

企業版本類型一次滿足

常見E1 / E3 / E5 功能比較(本次驗證為 E5 約NT$1,135.00 每個用戶/月)

總結上述功能需求需要以下任意授權才能開始使用

Azure AD Premium P2
Enterprise Mobility + Security (EMS) E5
Microsoft 365 M5

Application Proxy Q&A

偵錯應用程式 Proxy 連接器如果異常問題如何著手

連接器問題流程圖

應用程式問題流程圖

服務架構

Application Proxy 透過 Azure AD 安全驗證模式對你所需的內/外部應用程式供"SSO"單一登入方式運行。

用戶端透過網站端點點選所需應用程式後，系統會將用戶導向到 Azure AD 驗證入口。
待用戶帳密驗證成功登入後，Azure AD 會對用戶端裝置發送暫時性的信任權杖。
用戶再將將權杖傳送到 Application Proxy，透過此服務來取出權杖的 UPN 和 SPN。進而要求傳送至 Application Proxy Connect 之中。
而如已設定 SSO 則 Connect 會代替用戶來對所需驗證的應用程式進行登入驗證。
最後透過 Application Proxy 回應 Connect 進而回傳給用戶來達到暢通使用應用程式的目的。

Azure AD 應用程式 Proxy 的驗證流程

前置作業

測試可以透過免費 90 天的 Office 356 管道自行依條件申請即可．(此申請帳戶需要在 AAD為全域管理員權限)
或是直接透過建立此功能時提示啟用試用30天Azure AD Premium P2 版本，實務上 P1 版本即有此功能。

簡易實測環境

圖1. 想使用 Application Proxy 前需要有上述前置作業的授權已經啟用

圖2. 兩種皆可試用只是E5的免費試用管道有90天，而AAD P2只有30天，請自行斟酌

圖3. 示範就直接透過啟用AAD Premium P2授權

圖4. 開始針對所需的帳戶進行授權指派

圖5. 決定有哪些帳戶要用以及授權內的功能依需求刪減，預設就是全部勾選均能做測試

開始進行正式實驗，我希望把我的內部網站系統可以透過Azure來做驗證把關的動作

圖6. 請先下載Proxy Connector

圖7. 確定所能支援的OS版本無誤就下載此軟體

圖8. 找一台地端VM(我臨時用台DC來做連接服務),開始安裝

圖9. 安裝過程會要求Azure帳戶登入驗證

圖10. 驗證過了之後就會繼續安裝

圖11. 等待數分鐘安裝完成

圖12. 有另一台我地端的VM作為網站服務

圖13. 網站測試無誤

圖14. 新增要示範驗證的內部網站(URL如果不在自己肚子上請用完整FQDN)

PS：等等要測試請記住外部URL呈現的畫面是否就是帶入內部網站頁面

圖15. 完成後就會把此網站服務註冊上去

圖16. 註冊完畢後記得要先驗證是否能透過Proxy真的能連接開啟內部網站(點選開始應用程式)

圖17. 測試網站呈現畫面無誤

圖18. 改用Apps Panel登入也已經看到剛剛註冊的網站(Template-introspect)

圖19. 執行後就直接開啟網站沒有問題,這功能能有很多安全應用可以導入

技能解封初始篇章-非法隱身存取(Cloud App Security)

前言

https://ithelp.ithome.com.tw/articles/10213972

成本評估

Cloud App Security 依下列定價面向計費：

Azure 及 Office 365 訂閱者也可以線上購買 Azure Active Directory Premium P1 與 P2。於此處登入購買。

To enable Cloud App Security, you must have an E5 license or purchase the Cloud App Security add-on. To enable the alerts and monitoring capabilities, log onto the Office 365 Security and Compliance portal or the Microsoft Cloud App Security website.

企業版本類型一次滿足

常見E1 / E3 / E5 功能比較(本次驗證為 E5 約NT$1,135.00 每個用戶/月)

Cloud App Security Q&A

需要有何種權限才能存取 Cloud App Security？

須在 Azure Active Directory 中為全域系統管理員、合規性系統管理員或安全性系統管理員。僅有 Office 365 安全性與合規性中心具這些角色仍不具權限。

PowerShell

$cred = Get-Credential
Connect-MsolService -credential $cred
Add-MsolRoleMember -RoleName “Compliance Administrator" -RoleMemberEmailAddress “XX@XX.XX"

Add-MsolRoleMember -RoleName “Security Administrator" -RoleMemberEmailAddress “XX@XX.XX”

服務架構

用戶正進行平日工作使用雲端應用系統。
Cloud App Security 分析來致用戶端的存取其雲端之間的流量確保正常使用應用程式之行為。
管理者審核應用程序，可選擇放行或限制。
利用雲端上的應用程序 API界接來持續監控來實現合規和威脅分析。

前置作業

測試可以透過免費 90 天的管道自行依條件申請即可．(此申請帳戶需要在AAD為全域管理員權限)

簡易環境示範

圖1. O365 E5已經有授權後就需要指派指定的用戶可以擁有此功能

圖2. 回到O365找到Security功能並點擊

圖3. 新的畫面出現了，在官方文件上根本就還沒更新．．直接進入新頁面

圖4. 關鍵啟用畫面在此，已經被放到進階警示的功能之下，花了好一會功夫才找到．．(其實有問我朋友)

圖5. 回到 Azure 找到剛剛申請的授權清單已經有一包O365 E5的授權

圖6. 針對群組指定所附有的授權後就可以為後續的帳戶方便給此群組即可

圖6. 一開始其實時麼都沒有登入進去Cloud App Security 功能最有感的就只有規則與政策

圖7. 主要能透過既有的原則與範本來最選擇設置你想監視的標的上

圖8. 建立規則時就會發現…..

圖9. 針對每種規則監視的AP類型不同都有特別需要啟用

圖10. 啟用檔案監視並完成存檔

圖11. 舉例針對OneDrive及Sharepoint針對隨意分享檔案的行為進行警示通知

圖12. 先以傳送警示郵件為主

圖13. 回頭看儀表板有抓出各種資源包含應用程式,帳號與檔案等(應該是需要同步時間故一開始時沒有任何資源的)

圖14. 以自己為例就看到有在登入執行的歷程

圖15. 沒錯，我剛剛真的有進入到Onedrive做檔案分享…

圖16. 同時連結到Azure訂閱中資源檢視安全性

圖17. 比對Azure 資訊安全中心是一致的

圖18. 透過OAuth驗證的網站

圖19.包含外部的AP真的非常多元就視需求來做進一步監視

先前建立的規則觸發收到警示通知

技能解封初始篇章-防網站惡攻的天行者(WAF)

前言

https://ithelp.ithome.com.tw/articles/10213749

成本評估

Azure Front Door 依下列定價面向計費：

輸出資料傳輸 (也就是從 Front Door POP 輸出到用戶端的資料)
輸入資料傳輸 (也就是從用戶端輸入 Front Door POP 的資料)
路由規則 (也就是為 Front Door 設定的路由數)。每個路由都是 HTTP/HTTPS 通訊協定、前端主機/網域，以及路徑模式的相異組合。

¹ 您會需要支付最低回應大小 2KB 的費用。如需詳細資料，請參閱下方常見問題集。
輸出資料傳輸	區域 1¹	區域 2¹	區域 3¹	區域 4¹	區域 5¹
第一個 10 TB / 月	每 GB NT$5.110	每 GB NT$7.514	每 GB NT$15.028	每 GB NT$8.416	每 GB NT$10.219
之後的 40 TB (10-50 TB)/月	每 GB NT$4.509	每 GB NT$6.612	每 GB NT$12.804	每 GB NT$7.214	每 GB NT$8.716
之後的 100 TB (50-150 TB)/月	每 GB NT$3.908	每 GB NT$5.711	每 GB NT$10.820	每 GB NT$6.011	每 GB NT$7.364
每個月超過 150 TB	連絡我們	連絡我們	連絡我們	連絡我們	連絡我們

路由規則	每單位價格	價格單位
前 5 個路由規則	NT$0.902	每小時
每個額外的路由規則	NT$0.361	每小時

輸入資料傳輸
每 GB NT$0.301

WAF 定價包括每月固定費用和要求處理費用。如原則中所設，每個原則都有月費；自訂規則和受控規則集則有附加元件費用。

每單位的原則價格	價格單位
NT$150.271	每月

自訂規則	每單位價格	價格單位
規則	NT$30.055	每月
已處理的要求	NT$18.033	每 1 百萬次要求

受控規則集	每單位價格	價格單位
預設規則集	NT$601.084	每月
已處理的要求	NT$30.055	每 1 百萬次要求

FrontDoor Q&A

什麼是 Azure FrontDoor服務和 Azure 應用程式閘道之間的差異？

前端和應用程式閘道是第 7 (HTTP/HTTPS) 負載平衡器層級，主要差異FrontDoor是全域服務，而應用程式閘道是區域性服務。雖然FrontDoor可跨區域不同縮放單位/叢集間的負載平衡，而應用程式閘道則是讓你的縮放單位為VM/容器間來進行。

Azure FrontDoor服務支援哪些功能？

Azure FrontDoor服務支援動態網站加速 (DSA)、 SSL 卸載和端對端 SSL、 Web 應用程式防火牆、 cookie 型工作階段親和性、 url 路徑型路由等…

Azure FrontDoor服務支援哪些通訊協定？

Azure 的FrontDoor服務支援 HTTP、 HTTPS 和 HTTP/2。

Azure 前端服務如何支援 HTTP/2？

只連線到 Azure 前端服務的用戶端使用 HTTP/2 通訊協定支援。後端集區中的後端的通訊是透過 HTTP/1.1。預設會啟用 HTTP/2 支援。

目前支援哪些資源做為後端集區的一部分？

後端集區可以是儲存體、 Web 網站、 Kubernetes 或其他自訂主機名稱具有公開連線能力所組成。

什麼是 Azure FrontDoor服務的 POP 位置？

Azure 的FrontDoor服務都來自 Microsoft 的 Azure CDN 的 POP 相同的位置清單。完整列表請參閱從 Microsoft Azure CDN POP 位置。

Azure FrontDoor服務是否支援靜態或專用的 Ip？

目前不支援靜態或專用 Ip。

部署 Azure FrontDoor服務需要多久的時間？我的大門仍然運作時正在更新？

建立新的FrontDoor或現有FrontDoor任何更新都需要3-5分鐘全域部署。另外補充自訂 SSL 憑證更新部署至全球需要約30分鐘時間。

什麼是 Azure WAF？

Azure WAF 是一種 web 應用程式防火牆，可協助保護您的 web 應用程式免于遭受常見的威脅，如 SQL 插入式攻擊、跨網站腳本和其他 web 惡意探索。可自訂受控規則所組成的 WAF 原則以控制對 web 應用程式的存取。

Azure WAF 原則可以套用至裝載于應用程式閘道或 Azure Front 門板服務上的 web 應用程式。

什麼是適用于 Azure Front 服務的 WAF？

Azure FrontDoor可高度擴充、全域散發的應用程式和內容傳遞網路。 Azure WAF 與FrontDoor整合會在進入客戶虛擬網路之前拒絕服務供保護而不犧牲效能。

服務架構

可部署在 Azure 各地資料中心上，啟用網站應用程式防火牆檢查每個網路傳入的要求。防止惡意攻擊來源、禁止接近進入你自家的虛擬網路內，供大規模的整體保護，而不會犧牲效能。

WAF 原則可輕易地連結到你的訂用帳戶中任何前端設定檔和新的規則，只需要幾分鐘的更新生效時間來大幅降低瞬息萬變的威脅風險。

前置作業

需部署兩個在不同 Azure 區域 (如：美國東部和東南亞 ) 中執行的 Web 應用程式個體。此兩組 Web 應用程式個體都會以 A-A Mode 執行，層級不同於 A-S Mode 當發生異常時才會將其中一組作為容錯移轉，A-A Mode 是兩組隨時都能接收流量。

簡易環境示範

美國網站主機*1
東南亞網站主機*1
透過 FrontDoor 全域託管服務串接並透過WAF規則來做保護

圖1. 網站主機在東南亞 (可以記一下 DNS 名稱等等連網頁可以檢視)

圖2. 確認就是此網站無誤(東南亞)

圖3. 網站主機在美國 (可以記一下 DNS 名稱等等連網頁可以檢視)

圖4. 確認就是此網站無誤(美國)

圖5. 首要任務須先從WAF原則開始建立，並啟用原則

圖6. 可以針對實際WAF的作用進行模式選擇，另外當異常回報則可重導向至指定網頁

圖7. 對於受控原則屬於微軟控制我們只能選擇對不同情境下最佳的選擇，大多就預設

圖8. 本次規則驗證，小弟選擇透過地理區來區分如果是台灣來的連線一律阻擋，台灣以外則正常顯示頁面

圖9. 原則設立驗證完成

圖10. WAF Policy 服務建立完成

圖11. 確認一下剛剛的設定(原則)

圖12. 確認一下剛剛的設定(受控規則)

圖13. 確認一下剛剛的設定(自訂規則)

圖14. 開始要建立真正的重頭戲 FrontDoor 服務 (地區只是要找個地方指定馾實際上就是全域服務)

圖14. 一開始的組態流程設置畫面

圖15. 先從前端要被連線的URL命名，另外是否需要Cookies紀錄相同的來源指定同一台後端主機(預設是關閉)，最後套用剛剛設置的Policy

圖16. 後端集區就把本次要測試的兩台主機的網站FQDN網址加進去並給予優先序與權重比例

圖17. 作法同上述

圖18. 確認後端都已經設置完畢狀態均顯示已啟用

圖19. 最後設置規則Http/s均要另外綁定前端對外的FQDN，包含是否需要快取等．．

圖20. 上述三階段流程均設置完畢

圖21. 確認設置驗證無誤

圖22. 建立Frontdoor服務完成

圖23. 需要等個五分鐘後再試，不然後端還沒真正Ready會說找不到，從台灣連到Frontdoor 網址測試的確是有套用到規則被封鎖掉

圖24. 透過美國的虛擬機來當作用戶連Frontdoor 網址測試則沒有問題能正常顯示網站

圖25. 因為中間有多次的連線測試所以也看到這段時間的Request集中的連線數變多，沒有問題

技能解封初始篇章-對空對地的坦克巨塔(Firewall)

前言

Azure 防火牆是一個全託管的網路層級的資安服務，涵蓋範圍是以您的 Azure 虛擬網路下的資源為主要保護範圍。涵蓋 L4-L7 的 FaaS(Firewall as a Service)防火牆即服務，同時符合內建就有的高可用以及不受限的擴展延展。

Azure 防火牆本身具有以下重要特色：
* 防火牆本身就具高可用性。
* 支援可用性區域。(可減少負載平衡服務設置，同時可跨多個可用性區域提升保護)
* 不受限的水平擴展。
* 應用程式 FQDN 過濾防護。
* 網路流量篩選。
* 威脅情報警示並可直接 Drop 已知的惡意IP流量。(此判斷來自微軟的威脅情報判別)
* 來源與目的網路位址轉譯。(SNAT/DNAT)
* Azure Monitor 集中整合記錄分析。

如圖中所示，透過對整個虛擬網路的保護下都能夠判別L4-L7層的流量是否為惡意再作進一步的防護動作讓後端的虛擬機器真正在上面對外的應用服務都能夠安全無虞。

圖一.

Azure Firewall 把玩前成本計價須知

防火牆部署 (固定費用)

每個防火牆部署 NT$37.568/小時

資料處理 (變動費用)

每 GB NT$0.481 由防火牆處理。

Azure Firewall Q&A

Azure 防火牆部署方式是什麼？

可將Azure 防火牆部署在任何虛擬網路上，但一般用戶通常會將其部署當一個虛擬網路中心，在以中樞和支點方式與其他虛擬網路對等互連。接著就可從對等互連的虛擬網路設定預設路由，指向此虛擬網路防火牆中心。

我們本身支援全域 VNet 對等互連，但不建議使用，因為跨區連線會發生效能和延遲問題。為了達到最佳效能, 請為每個區域部署一個防火牆。

Azure 防火牆主要有哪些規則概念？

應用程式規則：設定可從子網存取的完整功能變數名稱 (Fqdn)。
網路規則：設定包含來源位址、通訊協定、目的地埠及目的地位址的規則。
NAT 規則:設定 DNAT 規則以允許連入連接。

Azure 防火牆運作方式與市集中如：NVA 服務有何不同？

Azure 防火牆是一種基本防火牆，可處理特定客戶實例但並非取代。建議可以視需求混合使用協力廠商 NVA 和 Azure 防火牆。使用首重相輔相成。

應用程式閘道 WAF 與 Azure 防火牆有什麼不同？

Web 應用程式防火牆 (WAF) 是應用程式閘道中一個功能，可供 Web 集中式進入保護，避免遭到常見惡意攻擊。Azure 防火牆可針對非 HTTP/S 通訊協定如： RDP、SSH、FTP 等..協定供輸入保護、為所有通訊協定 / 連接埠供輸出網路層級保護以及為輸出 HTTP/S 供 Web 層級保護。

網路安全性群組 (NSG) 和 Azure 防火牆有什麼不同？

Azure 防火牆可補足網路安全性群組功能。兩者結合時，可供更好的”深度防禦“網路安全性。網路安全性群組供分散式網路層流量篩選，可限制虛擬網路內資源的流量。

Azure 防火牆完全具狀態的集中式網路防火牆即服務，可跨不同訂用帳戶和虛擬網路，供網路層級和應用程式層級的保護。

如何使用我的服務端點設定 Azure 防火牆？

要安全存取 PaaS 服務，建議使用服務端點。你可選擇在Azure 防火牆子網路中啟用服務端點，並在已連線的支點虛擬網路上停用它。如此你就可享有這兩項功能的好處 — 服務端點安全性和所有流量的集中記錄。

是否有任何防火牆資源群組的限制？

防火牆、子網路、VNet 和公用 IP 位址全都必須在相同的資源群組中。

為什麼 Azure 防火牆需要/26 個子網大小？

Azure 防火牆在調整規模時布建更多虛擬機器 instance。 /26 位址空間可確保防火牆有足夠的 IP 位址可容納調整。

前置作業

虛擬子網路需指定名稱為AzureFirewallSubnet (並不能與其他資源混用)

欲先建立一組使用者自定路由 (UDR)

簡易實驗環境示範

圖1. 確認防火牆子網路已經預先建立

圖2. 目前沒有任何防火牆服務

圖3. 可以有支援區域備援(剛好LAB手癢就來個1,2)吧

圖4. 選擇已有的虛擬網路(剛剛有防火牆子網路的),另外也會有一組對外Public IP

圖5. 建立完成

圖6. 威脅情報預設是警示,要攔截請選擇最右邊

圖7. 檢視一下要能來做測試標的的虛擬機器,包含公私有IP記一下

圖8. 將UDR新增一筆路由下一跳到防火牆做判別

圖9. 原本虛擬機器的子網路套用都是預設路由,但是我們要讓防火牆擋在進出網際網路中間故需要把下一站的路由位置改到防火牆私有IP上

圖10. 我們從此虛擬網路的網卡中檢視有效路由就可以看到中間那行到網際網路已經被我的UDR取代了

圖11. 因為已經被防火牆取代RDP也斷了….記得剛剛不是有DNAT嗎！

圖12. 設定我們要測試的主角拿一個Amazon的URL作為Deny為例(因為我們是Azure……哈哈)

螢幕快照 2019-09-12 15.17.39.png

圖13. 另外也設定一筆指定對外能解析DNS紀錄的來源

圖14. 因為已經變成從防火牆發起,DNS也需要從虛擬機器的網卡上變更

圖15. 最後設定剛剛提到的DNAT,需要透過防火牆來找到後端指定的連線主機位置

PS：生肖都需要幾分鐘的時間,另外提醒每一組的規則都需要等另一個規則生效後再去儲存不然就會顯示衝突失敗

圖16. 最後就又可以在RDP連線登入進去剛剛的虛擬機器桌面

螢幕快照 2019-09-12 15.39.31.png

圖17. 最後測試amazon.com的網址也的確被防火牆做阻擋

螢幕快照 2019-09-12 15.25.06.png

技能解封初始篇章-安全閘門重鎮(NSG & ASG)

前言

網路安全性群組中的安全性規則能讓您篩選可在虛擬網路子網路及網路介面中流入和流出的網路流量類型。

前置作業：

如果尚未註冊過 Azure 可以來免費試用一個月200美金額度。
如用入口網站透過 https://portal.azure.com ，用你註冊申請的 Azure 帳戶登入。
如想使用 PowerShell 實測，可透過 Azure Cloud Shell 並切換成 PowerShell 執行命令或從你自己的電腦執行 PowerShell。(需要安裝針對 Azure 所屬的 PowerShell 模組)
最後如想用 CLI 實測，則可透過 Azure Cloud Shell 切換成 CLI 模式執行命令或從你自己的電腦執行 CLI。(需要安裝針對 Azure 所屬 CLI 模組)

成本評估

網路安全群組與應用程式安全群組(完全免費僅需注意本身單一訂閱下對於此資源的數量限制)

螢幕快照 2019-09-10 15.37.51.png

安全群組 Q&A

預設安全性規則會封鎖來自網際網路的輸入存取，並只允許來自虛擬網路進入流量。如需要允許來自網際網路流量進入則變更優先序高於預設規則安全性規則即可。
如果有對等互連的虛擬網路，VIRTUAL_NETWORK 服務標籤預設會自動開啟適用於對等互連虛擬網路的前置詞。如需虛擬網路對等互連相關問題進行處理可透過 ExpandedAddressPrefix 清單中檢視前置詞。
有效安全性規則生效須在有 NSG 已關聯至 VM 的網路介面或子網路且 VM 處於執行中。
如沒有 NSG 關聯至網路介面或子網路且以將 Public IP 指派給 VM，則預設所有連接埠全開並可任意地點對它進行進出存取。