REDUISEZ VOTRE CONSOMMATION AZURE EN UTILISANT LES INSTANCES RESERVEES

Une des préoccupations de nos clients quand on parle souvent d’AZURE c’est le cout des infrastructures sur le long terme.

En général les clients comprennent et utilisent c’est le modèle PAY AS YOU GO . Aujourd’hui nous allons parler d’une fonctionnalité qui vous permet de réduire considérablement votre consommation AZURE ; Les AZURE RESERVED INSTANCES

Azure Reserved Instances (Azure RI) vous permettent de réduire considérablement votre consommation Azure (jusqu’à 72%) en vous engagement sur 1 ou 3 ans.

Le principe est simple : plus on s’engage dans le temps pour consommer, plus on obtient de remise.

En fonction de la durée d’engagement (1 ou 3 ans), vous pouvez obtenir des remises pouvant atteindre les -72%.

LES SERVICES CONCERNES

Les Azure Reserved Instances ne concernent que les services de type Compute c’est-à-dire :

  • Azure VM
  • Azure SQL Data Warehouse
  • Azure SQL Database
  • App Service
  • Azure Cosmos DB

QUI PEUT ACHETER Les Azure Reserved Instances

Pour pouvoir acheter des instances réservées, vous devez avoir le rôle « Owner /Propriétaire » au niveau Souscription de type :

  • [EA] Enterprise Agreement
  • Microsoft Customer Agreement.

Si vous êtes CSP (Cloud Solution Provider), vous pouvez utiliser soit le Portail Azure ou le Centre Partenaire pour acheter des Réservation Azure.

MODALITES DE PAIEMENT

Vous pouvez payer une réservation à l’avance ou tous les mois. Une même réservation avec paiement initial et avec paiements mensuels au même coût total : vous ne payez pas de frais supplémentaires si vous optez pour le paiement mensuel.

NB : Le paiement mensuel est disponible pour les réservations Azure, et non pour les produits tiers

C’EST QUOI LE GAIN

Simulons a travers un exemple, ce que pourrait gagner un client avec Azure Reservede Instances. Pour cela nous allons utiliser le calculateur AZURE.

Considérons une machine VM de Type B4MS hébergée en Région South Africa West.

Cout : Pay As you go Sans engagement : $216 par mois

Calculons le Prix de cette VM avec un engagement de 3ans

Cout : 88$ mensuel. Ça fait une économie de 128$ mensuel sur 3 ans, ce qui n’est pas du tout négligeable

Vous pouvez meme encore aller plus loin en combinant les Reserved Instances avec le Azure Hybrid benefit

AZURE HYBRID BENEFIT

Azure Hybrid Benefit est une option tarifaire qui vous permet d’étendre vos Licences Windows Server et SQL Server dans le Cloud Azure.

Si vous disposez des licences Windows Server ou SQL Server via contrat SA (Software Assurance) ou équivalent (Licences de type EAS, Abonnement SCE ou Abonnement Open Value), sachez que vous pouvez les réutiliser pour vos machines Azure (Azure VM, Azure SQL, ou SQL Server sur des VMs Azure), et réduire le coût de ces ressources de manière considérable.

Vous économisez généralement jusqu’à 80% quand vous combinez Azure Hybrid Benefit avec les instances réservées (RI) Azure.

Se Connecter a O365 de maniere securisee sans mot de passe avec MS Authenticator

Le MFA Multi Factor authentication est un standard aujourd’hui reconnu dans l’industrie comme étant une bonne pratique contre les attaques cyber criminelles visant l’identité .

Mais nous avons constaté parfois une réticence chez les clients à mettre en place cette bonne pratique à cause de la contrainte de l’authentification supplémentaire.Parfois certains utilisateurs considèrent cela comme une gène .

Aujourd’hui il y a toute une réflexion autour du Passwordless entendez sans mot de passe, qui apparait comme un bon compromis entre sécurité et productivité. notamment avec le standard FIDO 2

Nous allons voir dans cet article comment mettre en œuvre le Passwordless avec MFA à l’aide Microsoft authenticator

Ci-dessous l’ancienne Expérience de connexion avec mot de passe

La etapes de configuration qui vont suivre sont basees sur le document suivant :https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-phone

Pour activer l’option MFA sans mot de passe il faut tout d’abord configurer votre tenant pour supporter ce mode d’authentification comme ici bas:

Ces configurations se passent sur le portail Azure. Configuration pas defaut

Activation de la connexion sans mot de passe

Ensuite il faut télécharger l’application MS authenticator à partir du Store Android et suivre les instructions pour configurer votre compte avec l’application.

Voici la nouvelle experience d’authentification sans mot de passe

Etape 1 :  Sur la fenetre de connexion des que vous tapez votre nom utilisateur ,le système demande de vous authentifier en vous proposant de choisir un chiffre

Etape 2 : Le chiffre correspondant apparait dans l’application de votre smartphone

Etape 3:Si tout est OK l’authentification a réussi

Voila nous venons de nous connecter a O365 sans mot passe et sans compromis sur la securite

 

 

 

Difference entre Windows AD (AD DS) et Azure AD (AAD) et Azure AD DS(AADDS)

Avec le développement des solutions Cloud, de nouveaux concepts d’identité sont nés et il n’est pas toujours facile de faire la différence entre les termes : AD DS et Azure AD et AADDS

Nous allons clarifier tout ça dans l’article suivant :

Active Directory aka   ( AD DS ou AD )   désigne le service d’annuaire que vous déployez dans votre centre de données et qui est fourni en natif dans toute nouvelle Installation de Windows Server. Quand on le dit comme ça beaucoup de personnes savent à quoi on se réfère puisque  AD est aujourd’hui un standard en matière de gestion d’identités pour plusieurs organisations

 

Azure Active Directory aka (AAD) est l’offre Identity as a Service de Microsoft propose par Microsoft Azure. AAD est donc un service Cloud mutualise de gestion d’identités et d’accès pour les applications essentiellement WEB hébergées et exécutées dans le Cloud Azure qui peut être étendu a votre Centre de données.

Chaque fois que vous souscrivez à un abonnement O365 vous avez droit à une instance de AAD. tous les objets crées dans votre tenant O365 résident dans votre Instance AAD

Vous avez toute la documentation sur cette couche AAD ici : https://docs.microsoft.com/fr-fr/azure/active-directory/

La différence entre AD DS et AAD

Tout d’abord il faut garder à l’esprit que AAD ne remplace pas AD DS

Listons les fonctionnalités de l’un et de l’autre pour en ressortir les différences :

Quand on parle AD DS on pense à :

  • Forêt /Domaine (Root & Child) Active Directory
  • Contrôleurs de domaine (DC : Domain Controller) hébergés chez vous généralement et sur lesquels vous avez Full Control (qu’ils soient physiques ou virtuels).
  • Service d’annuaire qui a une structure hiérarchique basée sur X.500
  • Annuaire pouvant stocker de multiple type d’objet : utilisateurs, ordinateurs, imprimantes, GPOs, Sites AD, Partages…
  • Annuaire pouvant être interrogé à l’aide du protocole LDAP (Lightweight Directory Access Protocol) ou LDAPS
  • Authentification via Kerberos/NTLM
  • Organisation des objets à l’aide d’OU (Organitional Unit)
  • Configuration des postes clients (Ordinateurs) et utilisateurs à l’aide de GPO (Group Policy Object)
  • Relation d’approbation entre deux ou plusieurs forêt

Alors que AAD quant à lui  est :

  • Un service Cloud (: cela veut dire que Microsoft conçoit, déploie et gère toute l’infrastructure (mutualisée) hébergeant Azure AD. Et vous, en tant que client vous consommez et payer ce service de manière mensuelle
  • Authentifie les utilisateurs aux niveaux des applications hébergées dans Azure ou celles hébergées chez vous OnPrem, via l’utilisation du service Azure AD Application Proxy.
  • L’authentification se fait via Internet : Azure AD s’appuie principalement sur une authentification over Internet (HTTP/80 ou HTTPS/433).
  • L’authentification ne se limite pas aux devices connectés sur le réseau Corporate de l’Entreprise mais plutôt to Any Device (vu que la communication avec un Azure AD se fait à l’aide des protocoles HTTP ou HTTPS, il suffit d’avoir un device connecté à Internet pour pouvoir communiquer avec un Azure AD.
  • Azure AD s’appuie quant à lui sur des protocoles dis « Modern Authentication Protocol » tels que OpenID Conncet /Oauth2 /SAML /WS-FEDERATION (et none Kerberos & NTLM ).
  • Contrairement à un Active Directory, Azure AD peut être interrogé via une interface REST API, appelée AD Graph API
  • Azure AD étant un service Cloud (IDentity-as-a-Service), vous n’avez pas la main sur l’infrastructure hébergeant cette solution IAM, il n’y pas de gestion de GPO possible, la création d’une structure d’OU n’est pas non plus disponible car il s’agit d’une structure Plate (Flat).
  • Azure AD stocke et gère uniquement les objets « Users » et « Groups » : pas de GPO, pas de partage réseau, pas de sites AD…etc
  • La manière dont les objets AD classiques (users, computers, partages, groupes….) sont stockés et gérés est complètement différente entre un AD et Azure AD

Azure AD DS  ou AADDS c’est quoi ?

Azure AD DS c’est votre AD DS géré et déployé par Microsoft dans Azure avec les mêmes caractéristiques listées plus haut pour AD DS mais avec les limitations suivantes :

  • Contrairement à un AD, Azure ADDS ne vous permet pas d’établir/créer de relations d’approbation entre plusieurs instances Azure ADDS.
  • Vous n’avez plus la main sur les comptes « Admins Entreprises » et « Admins du Schéma »
  • Et enfin, l’extension du schéma AD n’est pas possible sur un domaine (Managé) Azure ADDS.

L’une des questions qui revient souvent beaucoup posent souvent la question du scenario d’utilisation de AADDS. Si vous avez des contraintes de sécurité relatives à la réplication de votre AD local vers Azure (vers des DCs hébergés sous forme de VMs Azure), l’offre Azure ADDS peut être une solution à adopter pour créer rapidement une nouvelle forêt dédiée pour Azure, pour authentifier (via Kerberos/NTLM) vos utilisateurs/machines Windows hébergés dans Azure.

Securiser vous machines avec azure bastion (partie 2)

Nous allons dans ce billet vous montrer comment mettre en oeuvre azure bastion que nous avons presente ici

Alors comment ca marche Azure bastion:

  1. On se connecte en HTTPS sur le portail AZURE en utilisant un navigateur
  2. Vous selectionnez la machine que vous desirez administrer
  3. Le portail AZURE se connecte sur le service Azure Bastion en utilisant une IP Publique sur le port 443
  4. Et Ouvre une nouvelle session securisee dans votre navigateur qui vous permet de gerer votre machine Virtuelle

AZURE BASTION est donc un Proxy qui recoit des connexions en SSL provenant d’Internet et vous connecte en RDP ou SSH a vos machines Virtuelles. Ceux qui sont familiers de la  Solution RDP Web Access de Microsoft y verront des similitudes

NB : Gardez à l’esprit que le service Azure BASTION est lie à un Virtual Network . Si vous avez des ressources dans plusieurs Virtual Networks il faudra déployer autant d’hôtes AZURE BASTION

CREATION d’UN HOTE AZURE BASTION

Etape 1 : Enregistrement pour la Preview de Azure Bastion

Cela se passe a travers un ensemble de commandes Powershell que vous pouvez saisir sur le cloud Shell.

Il faut les taper dans l’ordre

#—————————–

#Enrollment

Register-AzureRmProviderFeature -FeatureName AllowBastionHost -ProviderNamespace Microsoft.Network

#Register your subscription with the Microsoft.Network provider namespace

Register-AzureRmResourceProvider -ProviderNamespace Microsoft.Network

#Verify that the AllowBastionHost feature is registered with your subscription

Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Network

#———-THE END————

Etape 2 : Création d’une ressource Azure bastion

Il faut pour se faire aller sur l’url : http://aka.ms/BastionHost qui vous redirigera vers les fonctionnalités  le portail avec les fonctionnalites Preview  et ajouter une nouvelle ressource bastion

Ensuite créer un réseau virtuel dédie a bastion

Apres ca il faut creer la ressource bastion en elle meme

Quand vous en avez termine avec la creation de la ressource , il faut remarquer que la ressource a en definitive :

  • Un Nom DNS public
  • Une IP Publicque non rattachee aux Machines virtuelles
  • Une Vnet auquel elle est rattachee

Azure bastion en Action

Nous allons a présent tester notre azure bastion .Soit la machine suivante, On constate que cette VM n’a pas d’IP publique et n’est donc pas accessible directement depuis Internet

Et maintenant si nous cliquons sur connect , une nouvelle option Bastion apparait

Après m’être identifie je peux gérer ma machine directement a partir d’un navigateur comme ici

Voila vous savez tout sur Azure bastion …..