Migrering av en fiktiv kommunes digitale infrastruktur til Azure, med fokus på sikker sone
Abstract
Flere organisasjoner har et ønske om å bli mer digitalisert, ved å ta i bruk ny teknologi for en bedre digital hverdag. Microsoft er en av de ledene innen skytjenester med deres løsning Azure, og flere ser fordelene med å flytte sin digitale infrastruktur dit. Det kan være flere forskjellige motivasjonsfaktorer bak dette; tilgjengelighet, skalering og tilgang til nye løsninger. Bakken kommune er organisasjonen i denne oppgaven. De ønsker å flytte sin digitale infrastruktur til Azure på grunn av at de ønsker å forsterke sitt bilde som en digital innovativ kommune, raskere tilgang til nye tjenester og ansvarsfraskrivelsen når det kommer til den fysiske sikkerheten.
Bakken kommune har valgt hvilken digital infrastruktur som skal migreres, som delvis står i sikker sone. Dette skaper utfordringer ved migreringen, og må løses før migreringen gjennomføres. Etter mange undersøkelser rundt det å opprette en sikker sone i Azure, konkluderte prosjektet med å omdøpe navnet til Kontrollert Sone. Det som ble konkludert viktigst etter undersøkelsene, var kontroll på trafikkflyten og tilgangen inn til de kritiske ressursene.
Trafikkflyten ble kontrollert ved hjelp mikrosegmentering. Øverst i hierarkiet har man selve nettverket, deretter deles det opp igjen i subnettverk, men det prosjektet viser er at subnettverk kan også deles opp videre ved hjelp av Azure Application Security Groups. Dette tredje nivået med segmentering lar nettverksreglene enklere bli satt opp for ressurser med samme kommuniseringsbehov. Siden disse også kan ha vanlige navn, vil det føre til en enklere forståelse av nettverksreglene. Noe prosjektgruppen mener vil hjelpe for administrering i etterkant. Azure Network Watcher ble konfigurert til å monitorere nettverket og Traffic Analytics ble brukt for å følge med på trafikken.
Tilgangskontrollen gjøres av flere tjenester: Azure AD, Application Proxy, RDS og en allerede eksisterende domeneinfrastruktur. Ved å publisere RDS bak Application Proxy kan brukere fra Azure AD koble seg til ressurser i Kontrollert Sone, der innloggingen blir gjort gjennom Microsoft sin portal, der vi kan sette strenge krav til verifisering som MFA og lokasjon. Videre delegering av tilgang av ressursene gjøres ved å gi eksisterende domenegrupper korrekt tilgang. Several organizations have a desire to be more digitized, by adopting new technology for a better digital everyday life. Microsoft is one of the leading in cloud service providers with their solution Azure, and several organizations see the benefits of moving their digital infrastructure there. There may be several different motivational factors behind this; accessibility, scaling and access to new solutions. Bakken municipality is the organization in this task. They want to move their digital infrastructure to Azure because they want to enhance their image as a digital innovative municipality, faster access to new services, and less responsibility for physical security.
Bakken municipality has chosen the digital infrastructure to be migrated, which partly is in the secure zone. This creates challenges in migration and must be addressed before the migration takes place. After much research on creating a secure zone in Azure, the project concluded renaming Secure Zone to Controlled Zone. From the surveys we concluded that the most important aspects was control of the traffic flow and access to the critical resources.
Traffic flow was controlled using micro-segmentation. At the top of the hierarchy the network itself is located, which is split up into subnetworks, but the project shows that subnetworks can also be split up further using Azure Application Security Groups. This third level of segmentation makes networking rules easier to set up for resources with the same communication needs. Since these can also have common names, it will lead to an easier understanding of the network rules. Something the project group believes will help with administration later. Azure Network Watcher was set up to monitor the network and Traffic Analytics was used to track traffic.
The access control is done by several services: Azure AD, Application Proxy, RDS and an already existing domain infrastructure. By publishing RDS behind the Application Proxy, users can connect with Azure AD credentials to resources in the Controlled Zone, where the login is made through Microsoft's portal, and we can set strict requirements for verification such as MFA and location. Further delegation of access to the resources is done by giving existing domain groups proper access.