AZURE AAD证书最佳实践监控

最新推荐文章于 2024-09-11 07:24:09 发布
最新推荐文章于 2024-09-11 07:24:09 发布
阅读量638 收藏 15
点赞数 7
文章标签: azure flask microsoft python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/newtyun/article/details/140167832
版权

a2e83f5b106281c2451a6c63096d4e33.gif

 新钛云服已累计为您分享801篇技术干货

f41f88235344cf3d751b609c89834660.gif

需求:随着应用服务业务证书的增多,人为手动登录azure平台查看证书繁琐、用户权限控制、容易忘记登录等等信息的风险,这时就要自动化管理来提高安全性与可靠性。

  • Azure AD 证书管理工具可以帮助自动化证书的续期和监控。

  • 通过这个工具,您可以设置证书的到期提醒,并自动完成证书的续期流程。

  • 该工具可以显示证书的详细信息,并提供证书的使用情况报告。

  • 设置证书到期警报,提醒您证书即将到期。

  • 编写自动化脚本,定期扫描并报告 Azure AD 中所有证书的状态。

01

Microsoft Entra ID服务授权

登录azure网站输入地址 https://portal.azure.cn 打开服务Microsoft Entra ID服务,进入到应用注册板块

5774100772868324b7f2c41d2164004c.png

在API权限模块添加配置权限

API/权限名称:Application.Read.All 和授权类型:应用程序

2eb37b5ae50ef319eeb873bd94e73f0e.png

证书和密码位置生成1个新客户端密码,这个是为了api调用时提取所有服务证书时间信息。

074d52480d935660087b4f0765bba9b8.png

02

Postman调用测试接口返回

1、获取access_token信息

POST请求地址https://login.partner.microsoftonline.cn/目录(租户) ID/oauth2/v2.0/token

client_id和client_secret是新客户端id与密码信息

8d026a4dc950121dcc24bb481b2183aa.png

bd8f78ec6d4228e8d494452149debfd4.png

2、通过access_token获取证书截止期限

提取json日志输出返回信息可以使用谷歌浏览器插件JSON-handle查看更加直观

7f6f67f673eef3267e1a4996c3dcdc59.png

03

封装成CronJob跑任务输出LOG

1、编写Python脚本azure-aad_certdate.py文件

把步骤二Postman调用的信息封装成Python文件

import re
import requests
import json
import warnings
from datetime import datetime


warnings.filterwarnings("ignore")  # 忽略所有警告


#DATETIME_FORMAT = '%Y-%m-%d %H:%M:%S'  # 如果要日期也要时间,就把这一行取消注释
DATETIME_FORMAT = '%Y-%m-%d'  # 如果只要日期,就把这一行取消注释




def get_applications_info():
    # 获取 access_token
    token_url = "https://login.partner.microsoftonline.cn/xxxxxxxx-xxxxx-xxxx-xxxxx-xxxxxxxxxxxxx/oauth2/v2.0/token"
    token_payload = 'grant_type=client_credentials&client_id=xxxxxxxxx-4c7d-xxxxxx-8beb-xxxxxxxxx&client_secret=xxxxxxxxxxxh0wbS~VxxxxxxxxxG4y&scope=https%3A%2F%2Fmicrosoftgraph.chinacloudapi.cn%2F.default'
    token_headers = {
        'Content-Type': 'application/x-www-form-urlencoded',
        'Cookie': 'fpc=Akixxxxxxxxnf-7exxxxxxxxxxxx; stsservicecookie=estsfd; x-ms-gateway-slice=estsfd'
    }


    token_response = requests.request("POST", token_url, headers=token_headers, data=token_payload)
    token_data = json.loads(token_response.text)
    access_token = token_data['access_token']


    # 使用 access_token 发起 GET 请求
    url = "https://microsoftgraph.chinacloudapi.cn/v1.0/applications"
    headers = {
        'Content-Type': 'application/x-www-form-urlencoded',
        'Authorization': f'Bearer {access_token}'
    }


    response = requests.request("GET", url, headers=headers).json()
    return response.get("value", [])




def parse_time(time_str):
    # 正则表达式匹配三种时间格式
    pattern = re.compile(r'^(\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2})(\.\d{1,6})?(Z)?$')
    match = pattern.match(time_str)
    if not match:
        return ''
    _, ms, z = match.groups()
    format_string = '%Y-%m-%dT%H:%M:%S'
    if ms:
        format_string += '.%f'
    if z:
        format_string += 'Z'
    return datetime.strftime(datetime.strptime(time_str, format_string), DATETIME_FORMAT)




def format_data(values):
    nvalues = []
    for item in values:
        password_credentials = [
            dict(
                appId=item.get("appId"),
                displayName=item.get("displayName"),
                keyId=jtem.get("keyId"),
                type='passwordCredentials',
                startDateTime=parse_time(jtem.get("startDateTime")),
                endDateTime=parse_time(jtem.get("endDateTime"))
            )
            for jtem in item.get("passwordCredentials", [])]
        key_credentials = [
            dict(
                appId=item.get("appId"),
                displayName=item.get("displayName"),
                type='keyCredentials',
                keyId=jtem.get("keyId"),
                startDateTime=parse_time(jtem.get("startDateTime")),
                endDateTime=parse_time(jtem.get("endDateTime"))
            )
            for jtem in item.get("keyCredentials", [])]
        nvalues.extend(password_credentials)
        nvalues.extend(key_credentials)
    return nvalues




def main():
    values = get_applications_info()
    nvalues = format_data(values)
    for item in nvalues:
        print(json.dumps(item))




if __name__ == '__main__':
    main()

2、制作Dockerfile文件封装成镜像

#编译镜像

docker build -t xxxxxxx.xxxxxxxxx.cn/xxxxxx/azure-aad-certdate:v1 .

#推送镜像到镜像仓库

docker push xxxxxxx.xxxxxxxxx.cn/xxxxxx/azure-aad-certdate:v1

FROM python
ENV LANG=C.UTF-8
ENV TZ=Asia/Shanghai


RUN pip install pyyaml  --upgrade -i  https://pypi.tuna.tsinghua.edu.cn/simple
RUN pip install requests --upgrade -i https://pypi.tuna.tsinghua.edu.cn/simple
COPY azure-aad_certdate.py   /opt/


CMD ["sleep","999"]

3、封装的镜像编写成Cronjob yaml文件

命令执行kubectl  apply -f   azure_aad_certdate.yaml

apiVersion: batch/v1beta1
kind: CronJob
metadata:
  name: azure-aad-certdate-monitor-server
  namespace: monitoring
spec:
  schedule: "* 9 * * *"
  concurrencyPolicy: Forbid
  jobTemplate:
    spec:
      parallelism: 1      #作业的最大并行度,默认为1
      completions: 1      #期望的成功完成的作业次数,成功运行结束的Pod数量
      ttlSecondsAfterFinished: 600   #终止状态作业的生存时长,超期将被删除
      backoffLimit: 3                #将作业标记为Failed之前的重试次数
      activeDeadlineSeconds: 60      #作业启动后可处于活动状态的时长
      template:
        spec:
          containers:
          - name: azure-aad-certdate-monitor
            image: xxxxxxx.xxxxxxxxx.cn/xxxxxx/azure-aad-certdate:v1
            #imagePullSecrets:
            imagePullPolicy: Always
            command:
            - /bin/sh
            - -c
            - python /opt/azure-aad_certdate.py
          restartPolicy: OnFailure
  startingDeadlineSeconds: 300   #因错过时间点而未执行的作业的可超期时长

4、查看Cronjob输出pod日志

azure-aad-certdate-monitor-server pod的json日志输出详情

bc2cb4e4fec536bea63a8f7615636149.png

04

SLS配置监控

1、编写sls查询语法进行查询

#查询证书时间在0至30天之内到期的服务信息

((_namespace_ : monitoring and _container_name_: azure-aad-certdate-monitor))| select DISTINCT appId,displayName,type,startDateTime ,endDateTime,date_diff('day', date_parse(split(_time_, 'T')[1], '%Y-%m-%d'), date_parse(endDateTime, '%Y-%m-%d')) as days having days < 30 and days > 0 ORDER BY days ASC LIMIT 1000

7396966200722366bff7244144cd25f2.png

2、Dashboard制作

制作1至60天到期数据信息和所有服务证书时间

e78e39347983644077f5c668cac2111e.png

3、SLS告警通知

证书监控告警通知配置

61e71c40bd99b4349df3052fbf2843b5.png

如有相关问题,请在文章后面给小编留言,小编安排作者第一时间和您联系,为您答疑解惑。

    推荐阅读   

0d8d464570a71ec292b2e81d4c768f26.png

8338ced5c289ddd2e8517e0156956c2d.png

    推荐视频    

新钛云服
关注
  • 7
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Azure 最佳架构安全评估 - 数据保护
qq_24550639的博客
08-07 231
数据保护 使用访问控制、加密、日志来分类、保护、监控数据资产。要保护静态数据和传输数据。 Checklist 使用基于身份的存储访问 使用Azure内置的数据加密 在数据传输过程中,需要全程加密 将密钥存在密钥保管库中,并采用RBAC以及审计策略 频繁更换密钥和秘密 Azure数据加密 静态数据 传输数据 关键点 是否有RBAC进行基于身份的存储访问控制 使用标准推荐的加密算法 使用安全的哈希算法 对静态数据进行分类和加密 加密虚拟磁盘 使用key encryption key来保护数据加密密钥 da
Azure虚拟桌面的安全基线
qq_24550639的博客
08-13 241
AVD安全基线 AVD的安全基线是基于Azure Security Benchmark 2.0的。 网络安全 NS-1:内部网络安全 现有的网络规划必须和企业的划分原则相一致。任何对公司来说是核心高危的系统,都应该单独隔离起来,然后用NSG或者firewall来保护。 使用ASC中的动态网络加固功能来 配置NSG,从而限制端口和源IP。 基于应用程序和企业划分原则,用NSG来限制或允许内部资源之间的流量。对于well-defined application,可以使用deny by default,permi
Azure AD 工作负载身份认证指南
gitblog_01071的博客
08-19 295
Azure AD 工作负载身份认证指南 azure-workload-identityAzure AD Workload Identity uses Kubernetes primitives to associate managed identities for Azure resources and identities in Azure Active Directory (AAD) wit...
Let's Encrypt WebApp Renewer 使用教程
gitblog_00406的博客
09-07 247
Let's Encrypt WebApp Renewer 使用教程 letsencrypt-webapp-renewer[PLEASE USE FREE MS MANAGED CERTS INSTEAD] Simple WebJob-ready console application for renewing Azure Web App SSL certificates项目地址:https://...
微软Azure云平台最佳实践.pptx
10-10
微软Azure云平台最佳实践主要关注的是在Azure平台上高效、安全且经济地构建、部署和管理应用程序的方法。Azure作为全球领先的云服务提供商之一,提供了一系列丰富的服务来满足不同行业的客户需求。以下是一些关键的...
Azure功能-最佳实践-
02-13
本文将深入探讨使用C#进行Azure函数开发的最佳实践,以提高效率、可维护性和性能。 1. **函数触发器选择**: - 根据应用程序的需求,选择合适的触发器类型,如HTTP触发器、队列触发器或时间触发器。例如,如果应用...
微软Azure Stack运维最佳实践原则.pdf
10-10
本文件主要关注的是Azure Stack的运维最佳实践原则,包括角色定义、学习资源以及认证考试。 首先,了解云计算操作模型和相关职位至关重要。在Azure Stack的运维中,涉及的角色主要有: 1. **Azure Stack运营商**:...
Azure AD与Azure订阅在Azure中国的架构限制与最佳实践1
08-08
Azure中国的环境中,...综上所述,理解Azure AD和Azure订阅在中国的架构限制及相应的最佳实践,对于有效地管理和安全地使用Azure资源是至关重要的。遵循上述建议,可以克服当前存在的限制,实现多目录间的有效协作。
微软Azure云计算最佳实践.pptx
10-10
微软Azure云计算平台是全球领先的云服务提供商之一,其最佳实践涵盖了技术创新、应用开发、运维管理、扩展方式和软件发布等多个方面。以下是对这些关键领域的详细解释: 1. 技术创新: 微软Azure提供了丰富的技术...
Save OpenAI response in Azure function to Blob storage
suiusoar
09-06 1302
将 OpenAI 的响应保存在 Azure 函数中到 Blob 存储
Flask如何处理静态文件
sheji888的专栏
09-07 657
虽然Flask默认使用static文件夹作为静态文件目录,但开发者也可以通过参数来自定义静态文件目录的路径。这允许开发者根据自己的项目结构来灵活地组织静态文件。在上面的例子中,Flask将使用my_static文件夹作为静态文件的存储目录。Flask通过内置的静态文件处理功能,为开发者提供了一种便捷的方式来管理应用中的静态文件。开发者只需要将静态文件放置在指定的目录下,就可以通过Flask提供的URL路径来访问这些文件。同时,Flask还提供了url_for函数和。
Flask如何处理POST请求
sheji888的专栏
09-06 1272
Flask中,通过路由装饰器(如@app.route)来定义URL路径与处理函数之间的映射关系。对于POST请求,需要在路由装饰器中明确指定(尽管在某些情况下,如果不指定methods参数,Flask默认也会处理POST请求,但明确指定可以提高代码的可读性和明确性)。# 处理POST请求的代码将放在这里pass。
如何使用Flask渲染模板
sheji888的专栏
09-07 985
Flask使用Jinja2模板引擎来渲染模板,通过视图函数将动态数据传递给模板,并生成最终的HTML页面。Jinja2模板语法提供了丰富的功能,包括控制结构、过滤器、模板继承和包含等,使得开发者能够灵活地生成复杂的动态网页内容。同时,开发者还需要注意模板渲染过程中的安全性问题,并采取适当的措施来保护用户数据。
Flask如何创建并运行数据库迁移
sheji888的专栏
09-08 1267
Flask应用中,模型通常定义在models.py文件中。这些模型代表了数据库中的表,并使用SQLAlchemy的ORM(对象关系映射)功能来定义表的字段和关系。
Flask中的上下文(Context)
sheji888的专栏
09-08 991
Flask中的上下文是框架提供的一种强大机制,用于在Web开发过程中管理和访问应用级别和请求级别的状态信息。会话上下文、应用全局上下文和请求上下文分别用于实现跨请求的用户状态管理、应用全局状态共享和单次请求的环境管理。通过合理使用这些上下文机制,开发者可以更加灵活地编写Flask应用程序,提高代码的可维护性和可扩展性。需要注意的是,虽然上述三类上下文在Flask中扮演着重要角色,但Flask的官方文档和社区中并没有严格规定“会话上下文”这一术语的具体实现和用法。
如何在Flask中实现用户认证
最新发布
sheji888的专栏
09-11 316
你需要有一个用户模型,通常是一个类,继承自UserMixin并包含一些基本属性(如用户名、密码等)。class User(UserMixin, db.Model): # 假设你使用SQLAlchemy作为ORM# 验证密码# 设置密码。
如何在Flask中处理错误
sheji888的专栏
09-09 1059
Flask中处理错误是确保Web应用健壮性和用户体验的重要部分。错误处理不仅涉及捕获和响应服务器或客户端生成的错误,还包括为这些错误提供有意义的反馈,无论是向开发者报告(如调试信息)还是向最终用户展示(如友好的错误页面)。由于篇幅限制,我无法直接撰写5000字的详尽文档,但我可以概述在Flask中处理错误的关键步骤和策略,并提供一些示例代码,帮助你理解如何在你的Flask应用中实现这些策略。
什么是Flask-WTF
sheji888的专栏
09-09 682
Flask-WTF是Flask与WTForms的简单集成,它结合了Flask的轻量级和WTForms的表单验证与渲染能力,为Flask开发者提供了一个便捷的方式来处理Web表单。通过Flask-WTF,开发者可以轻松地定义表单、验证用户输入、处理文件上传,并享受内置的CSRF保护等安全特性。Flask-WTF作为Flask框架的一个重要扩展库,为开发者提供了强大而灵活的表单处理功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值