Wij gebruiken cookies . Akkoord
Microsoft Ignite_edited

Proxsys @ Microsoft Ignite - Dag 4

29 september 2017 door Erik Loef

Een nieuwe dag met weer een goed gevuld programma voor iedereen. Vandaag zat alles zo druk op elkaar dat er maar 10 minuten voor lunch in te plannen was, lunch box mee in de presentatie dan maar. Vandaag was tevens de laatste dag van de beurs, deze sloot om 16:00.

De highlights van vandaag:

Azure Networking

Afgelopen week zijn er diverse aankondigingen op het gebied van Azure Networking geweest, in deze presentatie werden deze aankondigen stuk voor stuk behandeld. Ook al doet Proxsys nog niet veel met Azure, het is goed om de ins en outs te weten.

De volgende zaken kwamen langs:

  • Network Security Group management is eenvoudiger geworden, doordat er nu diverse templates te kiezen zijn (Azure SQL, Azure Blob Storage, etc) ipv een lijst van ip adressen toevoegen.
  • Secure Access mogelijkheden om de afgenomen PAAS diensten alleen open te stellen voor je eigen VNET.
  • Een nieuwe load balancer voor zwaardere loads, die boven de availability zones draait en je dus multi AZ redundancy kan creëren. Grappig om te zien, zo hebben we het al bij Proxsys zelf draaien.
  • Het is nu mogelijk om met een VNET direct te koppelen in een andere regio, hier waas eerder een IPSEC VPN voor nodig.
  • Een demo liet zien dat je VM to VM 7 gbps constant kon halen (van canada naar midden US).
  • P2S (Point 2 Site VPN) is nu ook mogelijk om op basis van Radius te koppelen aan een RADIUS endppoint (NPS server).

Priviliged Access Workstations

Een presentatie van Sami Laiho, een zeer goede spreker. In deze presentatie werd ingezoomd op de mogelijkheden om een IT omgeving te beheren en waar je op moet letten als je met je admin credentials aan de slag gaat op de ‘untrusted’ klantsystemen.

Een aantal takeaways:

  • RDP voor management is emergency only en mag eigenlijk niet gebruikt worden. Er is niet voor niets een maximum van twee sessies. Moet je voorstellen dat je in een bedrijf werkt dat 200 IT admins heeft, dat is nooit voldoende. Een betere oplossing is om de RSAT tools van Microsoft hiervoor te gebruiken. Daarnaast zullen de nieuwe 2016 servers geen GUI meer krijgen, dus je kan maar beter alvast beginnen (en dan is er altijd nog Honululu).
  • Een demo van Sami dat je via TaskManager overgenomen kan worden door een leverancier heeft ons wel even direct aan het denken gezet.
  • Verder had hij nog wat tips om je systeem te 'hardenen', denk aan PowerShell uit voor de end-user (deze heeft dat immers niet nodig).
  • Wat je moet verbieden is met server admin credentials ooit op een werkplek in te loggen, dit moet je via policy blokkeren.
  • Daarnaast dus ook de TaskManager en Explorer blokkeren vanwege de trucs die daarmee uitgehaald kunnen worden.

RDS : modern infrastructure

Hier was al eerder een sessie van gevolgd, dit was de vervolg sessie, blijft een mooie ontwikkeling. Een belangrijk statement was dat de future of virtualisation is Azure. De RDMI infrastructuur werkt middels een client die ook op Windows 10 werkt, zodat VDI scenario’s ook mogelijk worden. Er werd een demo van het op- en afschalen van de RDS virtual machines gegeven. Het betekent wel dat bij het uitzetten van de VM waarop nog een gebruiker zit, deze dus zijn sessie kwijtraakt. De agent werkt overigens ook nog op 2012R2. De nieuwe MSTSC clients krijgen allemaal Azure AD login capabilities.

Mogelijke Azure AD koppeling

Een guru op het gebied van authenticatie en Azure AD koppelingen, John Craddock gaf een inspirerende sessie over alle mogelijkheden om je AD aan Azure AD te koppelen. Veel zaken klonken bekend, toch fijn dat het op een goede en gestructureerde manier nog even goed werd uitgelegd. Daarnaast werd er een 'deep-dive' gedaan op alle details, wat een goed beeld geeft. Een paar nieuwe dingen gehoord zoals je eigen STS aan de trusted sites toevoegen en het gebruik van Domain Hints om zo de publieke Azure pagina te bypassen en direct door te gaan naar je eigen STS. Ook kun je Azure AD Connect automatisch laten upgraden middels een PowerShell commando.

Een belangrijke zaak die John aangaf is dat het immutableID niet meer gebruikt gaat worden, daar draaien nu wel onze scripts e.d. op.

Een nieuwe methode die nu GA is, is de Azure Pass-through Authentication. Deze nieuwe manier maakt het gebruik van ADFS overbodig en maakt zaken eenvoudiger. Je moet wel drie PTA instances draaien om het HA te maken (immers als je PTA niet werkt, kun je niet meer inloggen op o.a. je SAAS apps en Office365). Dan is het handig om indien je met lockout policies werkt altijd ervoor zorgt dat eerst je cloud account een ‘lockout’ laat doen, anders kan het zijn bij een aanval dat ook je lokale AD wordt locked out, met non-happy users tot gevolg.

Verder nog veel meer details, maar dat gaat te ver om deze allemaal hier te behandelen, een mooie presentatie om weer op voort te kunnen borduren!

Microsoft Cloud Printing

Een nieuwe mogelijkheid die Microsoft aan het ontwikkelen is (maar duidelijk nog niet helemaal af), is demogelijkheid om voor BYOD een printer toe te voegen. Dit werkt door op de printserver een IIS server te installeren met daarbij een printer discovery service. Vervolgens wordt de printer toegevoegd aan de Azure AD. Dit werkt dan samen met Azure App Proxy en kunnen dus de Windows 10 devices vervolgens cloud printers selecteren.

Deze functionaliteit werkt via de windows 10 printer UX, beschikbaar vanaf de Creators Update. Er is nog geen Mac support op de roadmap, wel een Android versie.

Azure Backup

Ondanks dat we een mooie backup oplossing hebben op basis van VEAAM, toch even kijken wat Microsoft te bieden heeft (immers is dat ook een geografisch tweede locatie).

  • Ondersteuning voor azure files
  • Nieuw is de Key Encryption Key (KEK) hiermee kun je ervoor zorgen dat jijzelf een sleutel krijgt en daarmee dus ook de enige bent die de data kan lezen, zelfs Microsoft zelf dus niet. Dit kan handig zijn indien bepaalde reguleringen van toepassing zijn.
  • Middels de Azure Data Box (al eerder over gesproken) is ook mogelijk om je backup initieel te 'seeden'.
  • Backup rapportages kunnen nu via PowerBI worden verwerkt.
  • Een feature die er eigenlijk allang in had moeten zitten werd ook aangekondigd. Je kunt nu item level recovery kan doen op je AD.
  • Middels Azure Backup kun je ook Linux machines back-uppen

Remote Access: Windows 10 VPN Client

Het gebruik van de Cisco Anyconnect VPN Client is nog steeds een vaak gebruikte methode om vanaf het internet verbinding te maken met het diensten- en klantnetwerk van Proxsys. Het gebruik van deze client is anno 2017 geen gebruiksvriendelijke werkwijze. De grootste pijnpunten:

  • Gebruiksvriendelijkheid: het authentiseren van een gebruiker gebeurt op basis van een gebruikersnaam/wachtwoord. Vaak worden hiervoor dezelfde gegevens gebruikt als de computer login. Het steeds opnieuw moeten invoeren van deze gegevens zorgt voor frustraties bij gebruikers en werkt korte/simpele wachtwoorden in de hand.
  • Functionaliteit: het opbouwen van een VPN sessie wordt normaliter pas uitgevoerd nadat de gebruiker is ingelogd in op de computer. Tijdens het inloggen op de computer is er dus geen verbinding met het Active Directory domein. De hiervan afhankelijke zaken zoals netwerk drive-mappings en policies werken niet, wat voor een vervelende gebruikerservaring (trage/incomplete aanmelding) zorgt. Zodra de VPN verbonden is worden de policies en drivemappings vaak niet direct hersteld en dit levert een frustrerende werkervaring op.
  • Beveiliging: met alleen een gebruikersnaam/wachtwoord (zie boven) kan op elke PC een VPN verbinding worden opgebouwd naar het klantnetwerk. Elke PC (mogelijk zonder goede basisbeveiliging) kan afhankelijk van de rechten van de gebruiker met volledige netwerktoegang op het bedrijfsnetwerk worden aangesloten.

Microsoft heeft in de huidige en toekomstige versies van Windows 10 een aantal sterke verbeteringen doorgevoerd en voorgesteld die Proxsys goed kan gebruiken om deze pijnpunten te adresseren:

  • Gebruiksvriendelijkheid: authenticatie kan worden uitgevoerd op basis van een Certificaat, of Windows Hello for Business.

Beide methoden maken gebruik van een aanmeldmethode die gebruiksvriendelijk is en een veiligere aanmelding oplevert.

  • Functionaliteit: On Demand trigger: VPN wordt opgebouwd wanneer dit nodig is volgens de suffix van een opgevraagde bestemming (bv. het benaderen van intranet.klant.nl)
  • App Based trigger: VPN wordt opgebouwd wanneer een bepaalde applicatie wordt opgestart.
  • Optioneel kan de VPN worden afgeschermd voor de rest van de PC, alleen de applicatie kan verkeer sturen naar het klantnetwerk.
  • Optioneel kan de applicatie worden afgeschermd van het internet; zodat er geen situatie ontstaat waarin bijvoorbeeld gegevens direct naar het internet kunnen lekken vanuit het bedrijfsnetwerk.
  • Always On: altijd een VPN opstarten zodra de gebruiker inlogt.
  • Trusted-network-detection: bouw alleen een VPN op wanneer de PC zich niet in het bedrijfsnetwerk bevindt.
  • Infrastructure Tunnel: vanuit de machine identiteit (dmv een computer certificaat) een VPN sessie opbouwen nog voordat een gebruiker is ingelogd. Over deze tunnel kan vervolgens worden ingelogd op het domein, maar kan er ook vanuit het klantnetwerk verbinding worden gemaakt met de remote PC om ‘manage out’ te kunnen toepassen.
  • Beveiliging: het afschermen van het klantnetwerk voor het verbinden met besmette of ongeautoriseerde computers kan worden gedaan door Azure AD in te zetten voor een Conditional Access controle. Hierbij moet de client zich eerst bij Azure AD aanmelden en voldoen aan het locatie- en/of PC beleid, voordat een VPN kan worden opgezet.

Het gebruik van een VPN verbinding is als basisvereiste voor een gebruiker die op afstand werkt een aflopende zaak. Door gebruik te maken van SaaS en Cloud vriendelijke applicaties en beheermethoden is het een internetverbinding vaak afdoende. Voor het zover is en we bij de ideale gebruikerservaring zijn beland, zijn de optimalisaties aan het VPN raamwerk van Windows 10 een welkome verbetering.

ACI / ACS / AAS / ASF

Azure heeft een enorm palet aan Platform as a Service (PaaS) diensten beschikbaar op basis waarvan een applicatie kan worden gehost. De diensten dienen allemaal een eigen doeltoepassing en zijn soms wat moeilijk van elkaar te onderscheiden:

Azure Container Instance: Hosten van enkelvoudige containers; Azure regelt de scheduling/orchestratie. Container krijgt een publiek IP-adres. Erg nieuwe dienst, met name voor dev/test en batch werk bedoelt

Azure Container Service: Via ACS kan een eigen container orchestrator in Azure worden geconfigureerd en gedeeltelijk beheerd. Eigen aanpassingen aan de omgeving zijn mogelijk.

Azure AppService: Het traditionele ‘IIS-as-a-service’ model. Maakt onder de moterkap gebruikt van IIS om websites te hosten.

Azure Service Fabric: ASF is een belangrijke bouwsteen van heel veel Azure diensten en kan ook direct door klanten worden gebruikt. Binnen ASF wordt de complete applicatie lifecycle beheerd door Microsoft. Naast het starten van containers kan ook native code worden aangestuurd. ASF is de ultieme werkwijze om op een door Microsoft geadviseerd framework een robuuste en veilige applicatie op te bouwen.

SQL 2017

Een nieuwe functionaliteit in SQL2017 (komt volgende week beschikbaar) is het gebruik kunnen maken van secondary read replicas die niet in een cluster hoeven te zijn opgenomen. Deze replicas kun je gebruiken voor het uitschalen van de read-only queries en niet voor High Availability.

Alle redundantie methodes van 2016 worden nog steeds ondersteund en zijn ook beschikbaar voor het gebruik op Linux. Klein aandachtspuntje is dat de onderliggende clustermethode van Linux (Pacemaker) op dit moment nog een 3e SQL node vereist. Wanneer Windows wordt gebruikt kan de quorom vote door een fileserver worden uitgevoerd.

Omdat we de afgelopen dagen zo hard hebben gewerkt en goed opgelet :-) , heeft Microsoft voor alle Ignite attendees het Universal park afgehuurd. Feestje!!

Delen via

Altijd en overal Ongestoord en ongemerkt veilig werken

Proxsys werkt met deze partners