.NET Walker

前面 說過，最近因為WFH的關係，協助了一些公司將許多地端的OA相關應用移動到像是Microsoft 365、teams、與Azure等雲端環境上，以確保萬一封城或是台灣大規模分區停電下，企業主要服務依舊可以透過雲端來存取和運行。也因為如此，上次和大家分享了 如何在家裡透過VPN連上Azure ，以安全的方式來存取雲端資源。 但除了讓用戶走VPN去存取雲端資源，以避免讓雲端上的資料或服務公開在網際網路上(讓駭客當箭靶)，另外一個非常基本卻重要的機制，是使用M365/Teams/Azure等雲端服務的企業不該忽略的，也就是2FA(Two-Factor Authentication)。 很多企業用戶可能根本不知道，瀏覽器上常見的登入行為，本身就有機會造成資安疑慮的最大風險，只要用戶在不熟悉的電腦上登入(例如網咖、公用電腦、別人的筆電…)或是用了不熟悉的網路(像是車站、咖啡廳、或是網路上隨意搜尋到的免費WIFI分享網路)，都很可能在無意之間讓你的帳密外洩。 由於Azure和Microsoft 365(包含MS Teams)都是攤在網際網路上的服務，倘若用戶一不小心帳密外洩，那造成的風險恐怕也是不低的。 如何讓帳密更安全嚴謹的使用呢? 答案就是2FA(Two-Factor Authentication)，關於2FA的細節你很容易在網路上找到，這邊就不多提了，總之微軟除了讓用戶以帳密登入以外，還提供你多重的身分驗證機制，例如手機簡訊就是其中之一。 簡單的說，你可以將M365或是Azure帳密設定為 – 在陌生的電腦上登入時，即便正確輸入帳密，還得再透過手機簡訊進行2次驗證(也可以用App進行驗證)。如此一來，可以大幅增加駭客的攻擊難度，避免你在密碼不小心外洩(或被猜對)時，遭受到駭客的入侵。 讓admin開放此功能 設定的方式很簡單，首先，你必須讓M365(Teams)管理員幫你從後台開起這個功能，它位於M365的admin center–>設定–>組織設定–>多重要素驗證： admin可以透過底下UI找到要開啟此功能的用戶，並且點選『啟用』即可： 你會看到底下畫面： 用戶設定2FA驗證(以手機簡訊為例) 啟用之後，下次該用戶成功登入後，就會發信自己被引導到底下畫面： 進入下一步之後，系統會讓你選擇第二重驗證方式： 你可

在一般的承平時期，企業內部網路要連接到位於雲端的服務，可能會採用 site to site VPN的形式，也就是把企業內網與Azure雲端的虛擬網路透過VPN互聯，達到安全連線的效果： 需求 但最近這幾周，很多企業開始居家上班(WFH)，導致用戶需要從家裡存取雲端上的服務，不管是伺服器、網站、資料庫、或是檔案系統…這時候，該怎麼辦呢? 你可能會說，這很容易啊，位於azure上公有雲的服務，都有對外(對internet)的IP，只要開放讓同仁從家裡連線不就得了? 當然不行，因為如此一來，等於把企業的應用攤在網際網路上讓駭客當箭靶練習入侵，因此，我們還是必須走一個安全的方式才行。 做法有兩種，一個是在企業的防火牆上，開放用戶透過VPN從家裡連線的管道，讓用戶先從家裡連到公司，再從公司透過VPN存取雲端的服務。但這樣等於是透過企業機房作為橋接，大部分公司我猜也是這麼做，但有個小缺點，如果台灣斷電(別跟我說不可能)，那所有的服務就只能停擺了，即便根本沒受影響的雲端服務也是。 因此，另一種作法呢，則是直接讓用戶從家裡以VPN連線到 Azure 雲端服務，直接存取企業在Azure雲端上的資源，如果你根本把整個企業機房(或上面的主要服務)都移上雲端上(做異地備援或主要服務)，更適合這麼作： 這篇文章要介紹的，就是上面這個模式。 如何讓員工，直接透過VPN，從家裡(其實從公司也行)透過網際網路安全的連線到企業位於公有雲上的資源。 環境說明 好，為了說明這個情境，我們建立了一個簡單的模擬。請再仔細看一下上面這張圖，其中有幾個需要注意的部分: 假設企業在雲端有兩台VM(提供了企業的主要應用，先別管是DB還是AP是WEB…反正就是個情境)，IP位置分別是10.0.0.4, 10.0.0.5，這兩台VM使用同一個虛擬網路，其子網路是10.0.0.0/24，這個虛擬網路就是待會我們要讓員工從家裡連上的虛擬網路。 為了讓員工從家裡安全的連上虛擬網路，我們有設置了一個Virtual Network Gateway，員工要從家裡連上虛擬網路，必須通過這個Virtual Network Gateway。 從家裡連上Virtual Network Gateway的工具，是Azure VPN Client，而我們用的驗證方式，是採用Azure AD 驗證，這意味著你必須要有