Skip to main content

Featured

Novo recurso no Microsoft Entra ID: desativar App Registration sem excluir

O Microsoft Entra ID agora permite desativar uma App Registration de forma reversível, sem precisar excluí-la do tenant.  Além de uma maneira de obter maior controle operacional, menor superfície de ataque e maior maturidade em identidade corporativa, esse recurso proporciona segurança, sem que haja  perca de configurações e permissões de aplicações que podem voltar a serem utilizadas. Antes dessa funcionalidade, administradores precisavam optar entre manter o aplicativo ativo durante uma investigação ou removê-lo completamente, o que implicava perda de histórico, permissões de API e configurações. Agora é possível interromper o acesso sem destruir o objeto. O que acontece ao desativar um aplicativo Quando uma App Registration é desativada, n ovos tokens deixam de ser emitidos, u suários não conseguem autenticar, a  aplicação não consegue acessar APIs usando novos tokens e o  Service Principal passa a ter o atributo isDisabled definido como true Se houver tentativa ...
Post a Comment
Read more

Protegendo o Azure Functions integrado à VNet com gatilhos de blob: pontos de extremidade privados e sem acesso público




Integrar funções do Azure com gatilhos de Blob em uma Rede Virtual (VNet) utilizando Endpoints Privados e Gateways NAT é essencial para reforçar a segurança e garantir a comunicação privada entre os serviços. 

1. Desafios ao usar funções do Azure com Gatilhos de Blob e Endpoints Privados

Ao configurar uma Função do Azure para ser acionada por blobs armazenados em uma Conta de Armazenamento do Azure com Endpoints Privados e acesso público desabilitado, surgem desafios específicos:

  • Resolução de DNS: A função precisa resolver o nome da conta de armazenamento para o endereço IP privado correto. Isso requer uma Zona DNS Privada associada à VNet.

  • Comunicação Interna: A função deve ser capaz de acessar a conta de armazenamento exclusivamente através da rede privada, sem expor dados à internet pública.

2. Configurando a Função do Azure com Gatilho de Blob e Endpoint Privado

Para assegurar que a Função do Azure possa interagir corretamente com a Conta de Armazenamento via endpoints privados, siga os passos abaixo:

  1. Criação da Função do Azure: Desenvolva uma função com gatilho de blob que processe blobs conforme necessário.

  2. Configuração da Conta de Armazenamento:

    • Desabilitar Acesso Público: Restrinja o acesso público para reforçar a segurança.
    • Configurar Endpoint Privado: Associe um endpoint privado à conta de armazenamento dentro da VNet.

  3. Integração da Função à VNet:

    • Integração Regional à VNet: Utilize a integração regional para conectar a função à VNet, permitindo acesso aos recursos internos.

  4. Configuração de Zona DNS Privada:

    • Criação e Associação: Estabeleça uma zona DNS privada correspondente ao serviço (por exemplo, privatelink.blob.core.windows.net) e associe-a à VNet.
    • Registros DNS: Certifique-se de que os registros DNS apontem para os IPs privados corretos dos endpoints.

  5. Configuração do Gateway NAT:

    • Criação do Gateway NAT: Implemente um Gateway NAT na VNet para gerenciar o tráfego de saída da função.
    • Associação ao Sub-rede: Associe o Gateway NAT à sub-rede onde a função está integrada, garantindo que todo o tráfego de saída utilize IPs estáticos definidos.

3. Benefícios da Configuração

  • Segurança Aprimorada: A comunicação entre a Função do Azure e a Conta de Armazenamento ocorre inteiramente dentro da VNet, eliminando exposições públicas.

  • Controle de Tráfego de Saída: Com o Gateway NAT, é possível definir IPs de saída estáticos, facilitando a gestão de listas de controle de acesso e garantindo previsibilidade no tráfego.

  • Resolução de Nomes Consistente: A Zona DNS Privada assegura que a função resolva corretamente os nomes dos serviços para os IPs privados, mantendo a integridade da comunicação interna.

Para uma implementação detalhada e orientações adicionais, consulte a documentação oficial da Microsoft: Usar pontos de extremidade privados para integrar o Azure Functions a uma rede virtual | Microsoft Learn

Siga a Cloud-ing no Insta! (Instagram)

Comments

Post a Comment