devbox
空白诗007
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

AZURE AAD证书最佳实践监控

作者:空白诗007 | 2024-07-09 01:11:59

AZURE AAD证书最佳实践监控

a2e83f5b106281c2451a6c63096d4e33.gif

 新钛云服已累计为您分享801篇技术干货

f41f88235344cf3d751b609c89834660.gif

需求:随着应用服务业务证书的增多,人为手动登录azure平台查看证书繁琐、用户权限控制、容易忘记登录等等信息的风险,这时就要自动化管理来提高安全性与可靠性。

  • Azure AD 证书管理工具可以帮助自动化证书的续期和监控。

  • 通过这个工具,您可以设置证书的到期提醒,并自动完成证书的续期流程。

  • 该工具可以显示证书的详细信息,并提供证书的使用情况报告。

  • 设置证书到期警报,提醒您证书即将到期。

  • 编写自动化脚本,定期扫描并报告 Azure AD 中所有证书的状态。

01

Microsoft Entra ID服务授权

登录azure网站输入地址 https://portal.azure.cn 打开服务Microsoft Entra ID服务,进入到应用注册板块

5774100772868324b7f2c41d2164004c.png

在API权限模块添加配置权限

API/权限名称:Application.Read.All 和授权类型:应用程序

2eb37b5ae50ef319eeb873bd94e73f0e.png

证书和密码位置生成1个新客户端密码,这个是为了api调用时提取所有服务证书时间信息。

074d52480d935660087b4f0765bba9b8.png

02

Postman调用测试接口返回

1、获取access_token信息

POST请求地址https://login.partner.microsoftonline.cn/目录(租户) ID/oauth2/v2.0/token

client_id和client_secret是新客户端id与密码信息

8d026a4dc950121dcc24bb481b2183aa.png

bd8f78ec6d4228e8d494452149debfd4.png

2、通过access_token获取证书截止期限

提取json日志输出返回信息可以使用谷歌浏览器插件JSON-handle查看更加直观

7f6f67f673eef3267e1a4996c3dcdc59.png

03

封装成CronJob跑任务输出LOG

1、编写Python脚本azure-aad_certdate.py文件

把步骤二Postman调用的信息封装成Python文件

  1. import re
  2. import requests
  3. import json
  4. import warnings
  5. from datetime import datetime
  6.  
  7.  
  8. warnings.filterwarnings("ignore")  # 忽略所有警告
  9.  
  10.  
  11. #DATETIME_FORMAT = '%Y-%m-%d %H:%M:%S'  # 如果要日期也要时间,就把这一行取消注释
  12. DATETIME_FORMAT = '%Y-%m-%d'  # 如果只要日期,就把这一行取消注释
  13.  
  14.  
  15.  
  16.  
  17. def get_applications_info():
  18.     # 获取 access_token
  19.     token_url = "https://login.partner.microsoftonline.cn/xxxxxxxx-xxxxx-xxxx-xxxxx-xxxxxxxxxxxxx/oauth2/v2.0/token"
  20.     token_payload = 'grant_type=client_credentials&client_id=xxxxxxxxx-4c7d-xxxxxx-8beb-xxxxxxxxx&client_secret=xxxxxxxxxxxh0wbS~VxxxxxxxxxG4y&scope=https%3A%2F%2Fmicrosoftgraph.chinacloudapi.cn%2F.default'
  21.     token_headers = {
  22.         'Content-Type': 'application/x-www-form-urlencoded',
  23.         'Cookie': 'fpc=Akixxxxxxxxnf-7exxxxxxxxxxxx; stsservicecookie=estsfd; x-ms-gateway-slice=estsfd'
  24.     }
  25.  
  26.  
  27.     token_response = requests.request("POST", token_url, headers=token_headers, data=token_payload)
  28.     token_data = json.loads(token_response.text)
  29.     access_token = token_data['access_token']
  30.  
  31.  
  32.     # 使用 access_token 发起 GET 请求
  33.     url = "https://microsoftgraph.chinacloudapi.cn/v1.0/applications"
  34.     headers = {
  35.         'Content-Type': 'application/x-www-form-urlencoded',
  36.         'Authorization': f'Bearer {access_token}'
  37.     }
  38.  
  39.  
  40.     response = requests.request("GET", url, headers=headers).json()
  41.     return response.get("value", [])
  42.  
  43.  
  44.  
  45.  
  46. def parse_time(time_str):
  47.     # 正则表达式匹配三种时间格式
  48.     pattern = re.compile(r'^(\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2})(\.\d{1,6})?(Z)?$')
  49.     match = pattern.match(time_str)
  50.     if not match:
  51.         return ''
  52.     _, ms, z = match.groups()
  53.     format_string = '%Y-%m-%dT%H:%M:%S'
  54.     if ms:
  55.         format_string += '.%f'
  56.     if z:
  57.         format_string += 'Z'
  58.     return datetime.strftime(datetime.strptime(time_str, format_string), DATETIME_FORMAT)
  59.  
  60.  
  61.  
  62.  
  63. def format_data(values):
  64.     nvalues = []
  65.     for item in values:
  66.         password_credentials = [
  67.             dict(
  68.                 appId=item.get("appId"),
  69.                 displayName=item.get("displayName"),
  70.                 keyId=jtem.get("keyId"),
  71.                 type='passwordCredentials',
  72.                 startDateTime=parse_time(jtem.get("startDateTime")),
  73.                 endDateTime=parse_time(jtem.get("endDateTime"))
  74.             )
  75.             for jtem in item.get("passwordCredentials", [])]
  76.         key_credentials = [
  77.             dict(
  78.                 appId=item.get("appId"),
  79.                 displayName=item.get("displayName"),
  80.                 type='keyCredentials',
  81.                 keyId=jtem.get("keyId"),
  82.                 startDateTime=parse_time(jtem.get("startDateTime")),
  83.                 endDateTime=parse_time(jtem.get("endDateTime"))
  84.             )
  85.             for jtem in item.get("keyCredentials", [])]
  86.         nvalues.extend(password_credentials)
  87.         nvalues.extend(key_credentials)
  88.     return nvalues
  89.  
  90.  
  91.  
  92.  
  93. def main():
  94.     values = get_applications_info()
  95.     nvalues = format_data(values)
  96.     for item in nvalues:
  97.         print(json.dumps(item))
  98.  
  99.  
  100.  
  101.  
  102. if __name__ == '__main__':
  103.     main()

2、制作Dockerfile文件封装成镜像

#编译镜像

docker build -t xxxxxxx.xxxxxxxxx.cn/xxxxxx/azure-aad-certdate:v1 .

#推送镜像到镜像仓库

docker push xxxxxxx.xxxxxxxxx.cn/xxxxxx/azure-aad-certdate:v1

  1. FROM python
  2. ENV LANG=C.UTF-8
  3. ENV TZ=Asia/Shanghai
  4.  
  5.  
  6. RUN pip install pyyaml  --upgrade -i  https://pypi.tuna.tsinghua.edu.cn/simple
  7. RUN pip install requests --upgrade -i https://pypi.tuna.tsinghua.edu.cn/simple
  8. COPY azure-aad_certdate.py   /opt/
  9.  
  10.  
  11. CMD ["sleep","999"]

3、封装的镜像编写成Cronjob yaml文件

命令执行kubectl  apply -f   azure_aad_certdate.yaml

  1. apiVersion: batch/v1beta1
  2. kind: CronJob
  3. metadata:
  4.   name: azure-aad-certdate-monitor-server
  5.   namespace: monitoring
  6. spec:
  7.   schedule: "* 9 * * *"
  8.   concurrencyPolicy: Forbid
  9.   jobTemplate:
  10.     spec:
  11.       parallelism: 1      #作业的最大并行度,默认为1
  12.       completions: 1      #期望的成功完成的作业次数,成功运行结束的Pod数量
  13.       ttlSecondsAfterFinished: 600   #终止状态作业的生存时长,超期将被删除
  14.       backoffLimit: 3                #将作业标记为Failed之前的重试次数
  15.       activeDeadlineSeconds: 60      #作业启动后可处于活动状态的时长
  16.       template:
  17.         spec:
  18.           containers:
  19.           - name: azure-aad-certdate-monitor
  20.             image: xxxxxxx.xxxxxxxxx.cn/xxxxxx/azure-aad-certdate:v1
  21.             #imagePullSecrets:
  22.             imagePullPolicy: Always
  23.             command:
  24.             - /bin/sh
  25.             - -c
  26.             - python /opt/azure-aad_certdate.py
  27.           restartPolicy: OnFailure
  28.   startingDeadlineSeconds: 300   #因错过时间点而未执行的作业的可超期时长

4、查看Cronjob输出pod日志

azure-aad-certdate-monitor-server pod的json日志输出详情

bc2cb4e4fec536bea63a8f7615636149.png

04

SLS配置监控

1、编写sls查询语法进行查询

#查询证书时间在0至30天之内到期的服务信息

((_namespace_ : monitoring and _container_name_: azure-aad-certdate-monitor))| select DISTINCT appId,displayName,type,startDateTime ,endDateTime,date_diff('day', date_parse(split(_time_, 'T')[1], '%Y-%m-%d'), date_parse(endDateTime, '%Y-%m-%d')) as days having days < 30 and days > 0 ORDER BY days ASC LIMIT 1000

7396966200722366bff7244144cd25f2.png

2、Dashboard制作

制作1至60天到期数据信息和所有服务证书时间

e78e39347983644077f5c668cac2111e.png

3、SLS告警通知

证书监控告警通知配置

61e71c40bd99b4349df3052fbf2843b5.png

如有相关问题,请在文章后面给小编留言,小编安排作者第一时间和您联系,为您答疑解惑。

    推荐阅读   

0d8d464570a71ec292b2e81d4c768f26.png

8338ced5c289ddd2e8517e0156956c2d.png

    推荐视频    

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/空白诗007/article/detail/800962
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号