Microsoft

Azure Active Directory.

Continuando os estudos para o exame Azure SC-900, vamos abordar um pouco sobre a Azure Active Directory.

A solução abordada pela Azure AD é a mesma utilizada no Microsoft Active Directory usada nos servidores Windows Server locais, a única diferença é que o Azure AD está nas nuvens e o Microsoft AD está local.

O interessante em utilizar o Azure AD é a possibilidade de sincronizar, migrar ou utilizar de forma híbrida as autenticações entre os 2 ambientes.

Com Azure AD é possível gerenciar autenticação e autorização de usuários, dispositivos e aplicações de forma híbrida, ingressada e com usuários externos utilizando outros domínios.

O Azure AD oferece algumas formas de assinaturas: Grátis, Microsoft Office 365, Premium P1 e P2.

Recursos ofertados.

O carro chefe do Azure AD é oferecer uma solução para gerenciamento de usuários, mantendo o ambiente seguro utilizando segurança de autenticação e autorização de usuários.

A solução Azure AD também oferece algumas formas de autenticação e autorização via dispositivos:

  1. Registrados ao Azure AD: Onde o usuário é autenticado e autorizado a utilizar seu dispositivo pessoal previamente cadastrado no Azure AD;
  2. Ingressado ao Azure AD: O usuário é autenticado e autorizado a utilizar somente dispositivos da organização previamente cadastrada.
  3. Ingressado ao Azure AD híbrido: O usuário se beneficia do Ingresso Azure AD mais as capacidades oferecidas pela Microsoft AD.

Outro recurso importante do Azure AD é o Azure AD Connect, onde o recurso oferece algumas capacidades de migração:

  1. Sincronização de hash de senha: Essa capacidade sincroniza as credenciais do Microsoft AD com Azure AD, possibilitando a utilização da credencial cadastrada no Microsoft AD no Azure AD e vice versa;
  2. Sincronização de passagem: O Azure AD se conecta ao Microsoft AD para validar as credenciais;
  3. Integração de federação: Um recurso que possibilita utilização de autenticação incompatíveis com Azure AD como Smart Card, outra opção é utilizar o recurso Serviços de Federação do Active Directory (AD FS) para validar os usuários localmente.

Conclusão.

O Azure AD oferece uma forma de validar as credenciais de usuários locais, híbridos ou até mesmo externos, o que deixa flexível e segura a utilização em soluções dentro do Azure.

Azure SC-900.

Após conseguir o certificado Azure AZ-900, continuarei a jornada e comecei os estudos para a certificação Azure SC-900.

A certificação SC-900 foca em segurança, integridade e conformidade dos serviços Microsoft.

Diferente da AZ-900 que foca somente no produto Azure, a SC-900 foca a segurança de produtos Microsoft como um todo.

O formato e os regulamentos da prova são os mesmos da prova AZ-900, a prova pode ter até 45 minutos e o número de perguntas pode variar conforme a dificuldade da questão.

As provas variam muito, os tipos e os formatos de perguntas sempre mudam, então o candidato deve estar bem preparado para todos os formatos de questões que podem aparecer.

Estrutura da prova.

O teste da certificação SC-900, assim como todos os testes da Microsoft é baseado em tópicos com pesos diferentes:

  1. Descrever conceitos de segurança, identidade e conformidade(10% ~ 15%): o candidato deve entender conceitos básicos sobre segurança e integridade dos dados e infraestrutura;
  2. Descrever as soluções de gerenciamento de acesso Microsoft(25% ~ 30%): o candidato deve entender os principais conceitos de gerenciamento de acesso aos produtos Microsoft, principalmente ao AD e Azure AD;
  3. Descrever as soluções de gerenciamento de segurança Microsoft(25% ~ 30%): o candidato deve conhecer as principais soluções de segurança para proteção dos produtos Microsoft;
  4. Descrever as soluções de gerenciamento de conformidade Microsoft(25% ~ 30%): o candidato deve conhecer todos as formas de gerenciar as conformidades dos produtos Microsoft.

Muitos dos conceitos abordados no teste da SC-900 foram abordados na AZ-900, o que facilita os estudos para o teste.

Conclusão.

Nos próximos notes aproveitarei para colocar os resumos de estudo dos tópicos estudados, acredito que o estudo para o SC-900 ajuda o candidato a entender mais sobre conceitos de segurança e possíveis ataques a plataforma.

Azure China.

A infraestrutura Azure na região da China tem conceitos tão particulares que merece um tópico somente para isso.

Apesar de aparecer no menu de opções de regiões Azure, para utilizar a região da China é algo tão burocrático que tem que valer muito a pena para selecioná-la.

A Azure China é disponibilizada com parceria da provedora de serviços 21Vianet.

São quatro regiões que a Azure China disponibiliza: China North e North2 localizado em Beijing, e China East e East2 localizado em Shanghai.

Em resumo, a Azure Global e Azure China têm regras totalmente diferentes.

Diferenças entre Azure Global e China.

O tamanho e a quantidade de serviços na Azure China são reduzidos em comparação com a Azure Global.

A forma de cobrança, suporte e domínio são totalmente diferentes da Azure Global.Não existe interconectividade entre a Azure Global e Azure China.

Para ter uma conta na Azure China é necessário uma autorização de uma entidade chinesa e uma licença ICP ou Internet Content Provider.

A Azure China tem seu próprio marketplace, além da forma de pagamento que só existe na modalidade Pay In- Advance.

Conclusão.

Fica claro que tem que compensar muito a utilização da Azure região China para entrar com a solicitação de licenças exigidas para ingressar na Azure China.

Gerenciando custos Azure.

É muito importante quando estamos trabalhando com cloud computing, fazer o gerenciamento de custos do ecossistema.

Tudo começa no planejamento, entender o que será utilizado na arquitetura do sistema para conseguir mensurar o valor aproximado a ser pago.

Lembrando que os custos sobre os recursos Azure são cobrados por dia, mas são faturados mensalmente.

A Azure oferece uma ferramenta chamada TCO ou Total Cost Ownership, onde alimentamos a calculadora com informações sobre o que precisamos para o nosso sistema e a calculadora devolve um relatório com gastos utilizando nuvem versus data center privado.

Tudo isso é importante para tomar a decisão se vale a pena utilizar servidores nas nuvens ou servidores privados.

Reduzindo custos Azure.

Após decidir em utilizar servidores em nuvem Azure, podemos utilizar mais recursos para reduzir custos. Uma forma de reduzir o custo é verificar em qual região o custo dos recursos está mais barato. Outra forma de reduzir custo é utilizar a capacidade Reservation, onde podemos pagar com desconto uma reserva de utilização de VM e Banco de dados anual com 40% de desconto ou 3 anos com 60% de desconto. Existe ainda outra capacidade que ajuda a reduzir custos chamado Hybrid, onde podemos trocar o sistema operacional Windows utilizado na VM por um sistema operacional Linux, removendo o pagamento da licença Windows. Uma ferramenta que ajuda muito a calcular os custos de recursos é o Price Calculadora, onde podemos somar os valores de todos os recursos que precisamos utilizar.

Conclusão.

Azure oferece algumas ferramentas e recursos que ajudam a calcular e reduzir custos operacionais, os custos podem ser reduzidos sem perder qualidade do sistema se utilizar os recursos Azure corretos.

Controle de acesso Azure.

Existem algumas formas de controlar os acessos dentro da plataforma Azure.

As formas mais utilizadas são controle de acesso via Azure Policy e o RBAC(Role based access control).

O interessante é que cada capacidade não precisa trabalhar isoladamente, podem trabalhar em conjunto.

Combinando as duas capacidades, podemos garantir a segurança e conformidade do sistema.

Com essas capacidades, podemos controlar quem pode acessar e o que ela pode acessar.

Diferenças entre Azure Policy e RBAC.

Apesar das duas capacidades controlarem acessos na plataforma Azure, os propósitos são diferentes. O Azure Policy controla o acesso verificando se a conformidade está de acordo com as regras de negócio. Por exemplo, podemos restringir acessos de usuários da Europa, liberando somente acesso de usuários de um determinado continente. Já o controle de acesso RBAC, controla o acesso micro, verificando por perfil e liberando ou restringindo acessos a determinados recursos. Por exemplo, podemos restringir ou liberar determinados usuários a acessar um recurso ou até grupos de recursos.

Conclusão.

Políticas de segurança combinadas com controles de acessos garantem integridade e a conformidade do sistema dentro da plataforma.

Segurança Azure.

Investir em segurança pode reduzir custos e futuras dores de cabeça.

A Azure oferece uma série de recursos e ferramentas para deixar as aplicações e infraestrutura mais seguras contra ataques.

Além de segurança multicamadas, a Azure oferece proteções utilizando inteligência artificial e segurança DDOS e firewalls.

É possível antecipar falhas de segurança recebendo notificações com possíveis falhas de segurança e suas correções.

Azure protege sua conta utilizando verificação multifator e autorização por perfil.

Recursos e ferramentas de segurança.

A Azure oferece uma série de recursos e ferramentas de segurança, vamos listar algumas delas. Proteção contra DDOS(Ataque de negação de serviços): Azure oferece defesa contra DDOS gratuito sobre a rede e também pode ser feito um upgrade com customização pagas. Key Vault: Oferece arquivos de configurações criptografados, protegendo dados sensíveis de configurações como credenciais de acesso. Azure Sentinel: Utilizando inteligência artificial e coleta de dados, a ferramenta notifica a plataforma de possíveis falhas e ataques. Azure Network Security Group: Oferece permissão e ou bloqueio de acesso a recursos Azure baseado em rede.

Conclusão.

Podemos baixar custos aplicando camadas de segurança, a Azure oferece muitos recursos que podem garantir segurança com baixo custo.

Interfaces gerenciador Azure

A Azure oferece algumas interfaces para o usuário gerenciar seus recursos.

Todas as interfaces são unificadas acessando uma entrada com recursos seguros e centralizados.

As interfaces de gerenciamento são utilizadas para consultar, apagar e criar recursos como aplicação, VM, assinaturas, VNET, entre outros.

Como um Hub de serviços, o usuário consegue gerenciar recursos via terminal ou via web.

A ideia de disponibilizar várias interfaces de entrada, é dar opções de uso caso alguma entrada esteja com problema.

Tipos de interfaces.

Existem algumas interfaces de entrada que a Azure oferece para gerenciamento de recursos: Portal Azure, Azure Powershell, Azure Cloud Shell e Azure Cli. Portal Azure é um gerenciador de recursos web, onde só é necessário conectar no portal e gerenciar recursos em uma interface gráfica. Powershell é um terminal que possibilita via linha de comandos gerenciar os recursos Azure. Cloud Shell é similar ao uso do Powershell, a diferença é que o uso é feito via web, conectando via Portal Azure e acessando a ferramenta. Azure Cli também é um gerenciador de recursos via linha de comandos, mas com comandos mais amigáveis que o Powershell.

Conclusão.

A Azure disponibiliza inúmeras ferramentas para gerenciar e analisar os recursos, desde interfaces web até a linha de comandos.