Su come configurare le regole del firewall per garantire l’autenticazione di gMSA in un ambiente AKS.
La configurazione delle regole del firewall assume un ruolo centrale nella gestione di ambienti ibridi complessi, specialmente quando ci si avvale di tecnologie di containerizzazione come Azure Kubernetes Service (AKS) con gestione di identità del servizio di gruppo (gMSA). Comprendere questo aspetto è fondamentale per garantire che il traffico necessario alle operazioni di autenticazione sia consentito, mentre si bloccano le minacce potenziali.
AKS permette l’orchestrazione efficiente di container su cluster che includono nodi Linux e Windows. Nell’adottare una soluzione gMSA su AKS, è imperativo che i nodi del cluster possano comunicare in maniera sicura e affidabile con il Domain Controller (DC). Questo necessita una configurazione attenta delle regole di sicurezza che devono permettere le comunicazioni sui porti appropriati, evitando al tempo stesso di esporre il sistema a rischi non necessari.
Per una corretta comunicazione tra i nodi Windows su AKS e il DC, che può trovarsi su reti virtuali separate, all’interno dello stesso network virtuale o anche al di fuori di Azure, está innanzitutto necessario garantire l’accesso ai seguenti porti:
- TCP e UDP 53 per il DNS;
- TCP e UDP 88 per il servizio Kerberos;
- TCP 139 per il servizio NetLogon;
- TCP e UDP 389 per i servizi LDAP;
- TCP 636 per LDAP SSL.
È importante considerare che quest’elenco può non essere esaustivo per tutte le esigenze applicative, quindi sarà necessario confrontarsi con i responsabili dell’applicazione per verificare la necessità di apertura di altri porti specifici.
Al fine di semplificare la gestione del firewall e migliorare l’efficienza del flusso di autenticazione, può essere vantaggioso aggiungere un DC direttamente in Azure. Questo approccio minimizza il traffico tra cloud e on-premises, riducendo la superficie di attacco e facilitando la definizione delle regole del Network Security Group (NSG). Gli amministratori dovrebbero comunque tenere in considerazione i porti necessari per la replicazione del DC in Azure con i DC on-premises.
Pertanto, una gestione accurata delle regole del firewall può risolvere problemi di traffico bloccato che impediscono l’emissione di ticket Kerberos necessari a gMSA, garantendo al contempo la sicurezza dell’architettura di rete aziendale.