Upravit

Vícevrstá ochrana pro přístup k virtuálním počítačům Azure

Microsoft Entra ID
Azure Bastion
Azure Role-based access control
Microsoft Defender for Cloud

Nápady na řešení

Tento článek je myšlenkou řešení. Pokud chcete, abychom obsah rozšířili o další informace, jako jsou potenciální případy použití, alternativní služby, aspekty implementace nebo pokyny k cenám, dejte nám vědět tím, že nám poskytnete zpětnou vazbu k GitHubu.

Toto řešení poskytuje vícevrstevný přístup pro ochranu virtuálních počítačů v Azure. Uživatelé se musí připojit k virtuálním počítačům pro účely správy a správy. Je důležité minimalizovat prostor pro útoky, které připojení vytváří.

Toto řešení dosahuje nestandardního podrobného přístupu k virtuálním počítačům začleněním několika mechanismů ochrany. Je v souladu se zásadou nejnižších oprávnění (PoLP) a konceptem oddělení povinností. Aby se snížila expozice útokům, toto řešení uzamkne příchozí provoz do virtuálních počítačů, ale v případě potřeby zpřístupňuje připojení virtuálních počítačů. Implementace tohoto typu ochrany minimalizuje riziko mnoha oblíbených kybernetických útoků na virtuální počítače, jako jsou útoky hrubou silou a distribuované útoky DDoS (Denial of Service).

Toto řešení používá mnoho služeb a funkcí Azure, mezi které patří:

  • Microsoft Entra Privileged Identity Management (PIM).
  • Funkce přístupu k virtuálním počítačům podle potřeby (JIT) v programu Microsoft Defender for Cloud.
  • Azure Bastion.
  • Vlastní role řízení přístupu na základě role v Azure (Azure RBAC).
  • Podmíněný přístup Microsoft Entra volitelně.

Potenciální případy použití

Hloubková ochrana je hlavní myšlenkou této architektury. Tato strategie před udělením přístupu uživatelům k virtuálním počítačům čelí několika liniemi obrany. Cílem je zajistit, aby:

  • Každý uživatel je legitimní.
  • Každý uživatel má právní záměry.
  • Komunikace je zabezpečená.
  • Přístup k virtuálním počítačům v Azure se poskytuje jenom v případě potřeby.

Strategie hloubkové ochrany a řešení v tomto článku platí pro mnoho scénářů:

  • Za těchto okolností musí správce získat přístup k virtuálnímu počítači Azure:

    • Správce musí vyřešit problém, prozkoumat chování nebo použít kritickou aktualizaci.
    • Správce používá protokol RDP (Remote Desktop Protocol) pro přístup k virtuálnímu počítači s Windows nebo zabezpečenému prostředí (SSH) pro přístup k virtuálnímu počítači s Linuxem.
    • Přístup by měl obsahovat minimální počet oprávnění, která práce vyžaduje.
    • Přístup by měl být platný pouze po omezenou dobu.
    • Po vypršení platnosti přístupu by měl systém uzamknout přístup k virtuálnímu počítači, aby se zabránilo pokusům o škodlivý přístup.

  • Zaměstnanci potřebují přístup ke vzdálené pracovní stanici hostované v Azure jako virtuální počítač. Platí následující podmínky:

    • Zaměstnanci by měli k virtuálnímu počítači přistupovat jenom během pracovní doby.
    • Systém zabezpečení by měl zvážit požadavky na přístup k virtuálnímu počítači mimo pracovní dobu, které nejsou zbytečné a škodlivé.

  • Uživatelé se chtějí připojit k úlohám virtuálních počítačů Azure. Systém by měl schvalovat připojení, která jsou jenom ze spravovaných a vyhovujících zařízení.

  • Systém zaznamenal obrovský počet útoků hrubou silou:

    • Tyto útoky cílí na virtuální počítače Azure na porty RDP a SSH 3389 a 22.
    • Útoky se pokusily uhodnout přihlašovací údaje.
    • Řešení by mělo zabránit zpřístupnění přístupových portů, jako je například 3389 a 22, v internetovém nebo místním prostředí.

Architektura

Architecture diagram showing how a user gains temporary access to an Azure V M.

Stáhněte si soubor aplikace Visio s touto architekturou.

Tok dat

  1. Rozhodnutí o ověřování a přístupu: Uživatel se ověřuje na základě ID Microsoft Entra pro přístup k webu Azure Portal, rozhraním Azure REST API, Azure PowerShellu nebo Azure CLI. Pokud ověřování proběhne úspěšně, projeví se zásady podmíněného přístupu Microsoft Entra. Tato zásada ověřuje, jestli uživatel splňuje určitá kritéria. Mezi příklady patří použití spravovaného zařízení nebo přihlášení ze známého umístění. Pokud uživatel splňuje kritéria, podmíněný přístup udělí uživateli přístup k Azure prostřednictvím webu Azure Portal nebo jiného rozhraní.

  2. Přístup za běhu založený na identitě: Během autorizace přiřadí Microsoft Entra PIM uživateli vlastní roli typu. Oprávněnost je omezená na požadované zdroje a jedná se o časově omezenou roli, nikoli trvalouroli. V zadaném časovém rámci uživatel požádá o aktivaci této role prostřednictvím rozhraní Azure PIM. Tento požadavek může aktivovat další akce, jako je spuštění pracovního postupu schválení nebo výzva uživatele k vícefaktorovém ověřování k ověření identity. V pracovním postupu schválení musí žádost schválit jiná osoba. Jinak uživatel nemá přiřazenou vlastní roli a nemůže pokračovat k dalšímu kroku.

  3. Přístup za běhu založený na síti: Po ověření a autorizaci se vlastní role dočasně propojila s identitou uživatele. Uživatel pak požádá o přístup k virtuálnímu počítači JIT. Tento přístup otevře připojení z podsítě Azure Bastion na portu 3389 pro protokol RDP nebo port 22 pro SSH. Připojení se spustí přímo k síťové kartě virtuálního počítače (NIC) nebo podsíti síťové karty virtuálního počítače. Azure Bastion otevře interní relaci protokolu RDP pomocí daného připojení. Relace je omezená na virtuální síť Azure a není přístupná k veřejnému internetu.

  4. Připojení k virtuálnímu počítači Azure: Uživatel přistupuje ke službě Azure Bastion pomocí dočasného tokenu. Prostřednictvím této služby uživatel vytvoří nepřímé připojení RDP k virtuálnímu počítači Azure. Připojení funguje jenom po omezenou dobu.

Součásti

Toto řešení používá následující komponenty:

  • Azure Virtual Machines je nabídka typu infrastruktura jako služba (IaaS). Virtuální počítače můžete použít k nasazení škálovatelných výpočetních prostředků na vyžádání. V produkčních prostředích, která toto řešení používají, nasaďte úlohy na virtuální počítače Azure. Pak eliminujte zbytečné vystavení virtuálním počítačům a prostředkům Azure.

  • Microsoft Entra ID je cloudová služba identit, která řídí přístup k Azure a dalším cloudovým aplikacím.

  • PIM je služba Microsoft Entra, která spravuje, řídí a monitoruje přístup k důležitým prostředkům. V tomto řešení tato služba:

    • Omezuje trvalý přístup správce ke standardním a vlastním privilegovaným rolím.
    • Poskytuje přístup založený na identitě za běhu k vlastním rolím.

  • Přístup k virtuálním počítačům PODLE POTŘEBY je funkce Defenderu pro cloud, která poskytuje přístup k virtuálním počítačům podle potřeby. Tato funkce přidá pravidlo zamítnutí do skupiny zabezpečení sítě Azure, která chrání síťové rozhraní virtuálního počítače nebo podsíť obsahující síťové rozhraní virtuálního počítače. Toto pravidlo minimalizuje prostor pro útoky na virtuální počítač tím, že blokuje zbytečnou komunikaci s virtuálním počítačem. Když uživatel požádá o přístup k virtuálnímu počítači, přidá služba do skupiny zabezpečení sítě dočasné pravidlo povolení. Vzhledem k tomu, že pravidlo povolení má vyšší prioritu než pravidlo zamítnutí, může se uživatel připojit k virtuálnímu počítači. Azure Bastion je nejvhodnější pro připojení k virtuálnímu počítači. Uživatel ale může také použít přímou relaci RDP nebo SSH.

  • Azure RBAC je autorizační systém, který poskytuje jemně odstupňovanou správu přístupu k prostředkům Azure.

  • Vlastní role Azure RBAC poskytují způsob, jak rozšířit předdefinované role Azure RBAC. Můžete je použít k přiřazení oprávnění na úrovních, které vyhovují potřebám vaší organizace. Tyto role podporují poLP. Udělí jenom oprávnění, která uživatel potřebuje pro účel uživatele. Pro přístup k virtuálnímu počítači v tomto řešení získá uživatel oprávnění pro:

    • Použití služby Azure Bastion
    • Žádost o přístup k virtuálnímu počítači JIT v Defenderu pro cloud
    • Čtení nebo výpis virtuálních počítačů

  • Podmíněný přístup společnosti Microsoft Entra je nástroj, který id Microsoft Entra používá k řízení přístupu k prostředkům. Zásady podmíněného přístupu podporují model zabezpečení nulové důvěryhodnosti . V tomto řešení zásady zajišťují, že přístup k prostředkům Azure získají jenom ověření uživatelé.

  • Azure Bastion poskytuje zabezpečené a bezproblémové připojení RDP a SSH k virtuálním počítačům v síti. V tomto řešení Azure Bastion připojí uživatele, kteří používají Microsoft Edge nebo jiný internetový prohlížeč pro HTTPS nebo zabezpečený provoz na portu 443. Azure Bastion nastaví připojení RDP k virtuálnímu počítači. Porty RDP a SSH nejsou vystavené internetu ani původu uživatele.

    Azure Bastion je v tomto řešení volitelný. Uživatelé se můžou připojit přímo k virtuálním počítačům Azure pomocí protokolu RDP. Pokud nakonfigurujete Službu Azure Bastion ve virtuální síti Azure, nastavte samostatnou podsíť s názvem AzureBastionSubnet. Pak k této podsíti přidružte skupinu zabezpečení sítě. V této skupině zadejte zdroj pro provoz HTTPS, jako je například blok CIDR (Inter-Domain Routing) bez třídy IP uživatele. Pomocí této konfigurace zablokujete připojení, která nepocházejí z místního prostředí uživatele.

    Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

  • Husam Hilal | Vedoucí architekt cloudových řešení

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky