Protection multicouche pour l’accès aux machines virtuelles Azure

Cette solution offre une approche multicouche pour la protection des machines virtuelles dans Azure. Les utilisateurs doivent se connecter aux machines virtuelles à des fins de gestion et d’administration. Il est essentiel de réduire la surface d’attaque créée par la connectivité.

En incorporant plusieurs mécanismes de protection, cette solution permet d’obtenir un accès granulaire non persistant aux machines virtuelles. Elle s’aligne sur le principe du moindre privilège (PoLP) et le concept de séparation des tâches. Pour réduire l’exposition aux attaques, cette solution verrouille le trafic entrant sur les machines virtuelles, mais rend les connexions de machine virtuelle accessibles en cas de besoin. L’implémentation de ce type de protection réduit le risque de nombreuses cyberattaques courantes sur les machines virtuelles, telles que les attaques par force brute et les attaques par déni de service distribué (DDoS).

Cette solution utilise de nombreux services et fonctionnalités Azure, notamment :

• Microsoft Entra Privileged Identity Management (PIM).
• La fonctionnalité d’accès aux machines virtuelles juste-à-temps (JAT) de Microsoft Defender pour le cloud.
• Azure Bastion.
• Les rôles personnalisés du contrôle d’accès en fonction du rôle Azure (RBAC Azure).
• Accès conditionnel Microsoft Entra, facultatif.

Cas d’usage potentiels

La défense en profondeur est l’idée principale de cette architecture. Cette stratégie soumet les utilisateurs à plusieurs lignes de défense avant de leur accorder l’accès aux machines virtuelles. L’objectif est de s’assurer que :

• Chaque utilisateur est légitime.
• Chaque utilisateur a des intentions légales.
• La communication est sécurisée.
• L’accès aux machines virtuelles dans Azure est accordé uniquement lorsque cela est nécessaire.

La stratégie de défense en profondeur et la solution présentée dans cet article s’appliquent à de nombreux scénarios :

• Un administrateur doit accéder à une machine virtuelle Azure dans les circonstances suivantes :

  • L’administrateur doit résoudre un problème, examiner un comportement ou appliquer une mise à jour critique.
  • L’administrateur utilise le protocole RDP pour accéder à une machine virtuelle Windows ou le protocole SSH pour accéder à une machine virtuelle Linux.
  • L’accès doit inclure le nombre minimal d’autorisations requises par le travail.
  • L’accès doit être valide uniquement pendant une durée limitée.
  • Après l’expiration de l’accès, le système doit verrouiller l’accès à la machine virtuelle pour empêcher toute tentative d’accès malveillant.

• Les employés ont besoin d’accéder à une station de travail distante qui est hébergée dans Azure en tant que machine virtuelle. Les conditions suivantes s’appliquent :

  • Les employés doivent accéder à la machine virtuelle uniquement pendant les heures de travail.
  • Le système de sécurité doit considérer les demandes d’accès à la machine virtuelle en dehors des heures de travail comme inutiles et malveillantes.

• Les utilisateurs souhaitent se connecter aux charges de travail de la machine virtuelle Azure. Le système doit approuver les connexions qui proviennent uniquement d’appareils gérés et conformes.

• Un système a subi un nombre considérable d’attaques par force brute :

  • Ces attaques ont visé des machines virtuelles Azure sur les ports RDP et SSH 3389 et 22.
  • Les attaques ont tenté de deviner les informations d’identification.
  • La solution doit empêcher l’exposition des ports d’accès tels que les ports 3389 et 22 à Internet ou à des environnements locaux.

Architecture

Téléchargez un fichier Visio de cette architecture.

Dataflow

1. Décisions en matière d’authentification et d’accès : l’utilisateur est authentifié auprès de Microsoft Entra ID pour accéder au portail Azure, aux API REST Azure, à Azure PowerShell ou à l’interface de ligne de commande Azure. Si l’authentification réussit, une stratégie d’accès conditionnel Microsoft Entra prend effet. Cette stratégie vérifie si l’utilisateur répond à certains critères. Il peut s’agir, par exemple, de l’utilisation d’un appareil géré ou d’une connexion à partir d’une localisation connue. Si l’utilisateur remplit les critères, l’accès conditionnel lui accorde l’accès à Azure via le portail Azure ou une autre interface.

2. Accès juste-à-temps basé sur l’identité : pendant l’autorisation, Microsoft Entra PIM attribue à l’utilisateur un rôle personnalisé de type admissible. Cette admissibilité est limitée aux ressources requises et constitue un rôle limité dans le temps, et non un rôle permanent. Dans un laps de temps spécifié, l’utilisateur demande l’activation de ce rôle par le biais de l’interface Azure PIM. Cette demande peut déclencher d’autres actions, telles que le démarrage d’un flux de travail d’approbation ou la demande à l’utilisateur de l’authentification multifacteur pour vérifier son identité. Dans un flux de travail d’approbation, une autre personne doit approuver la demande. Sinon, l’utilisateur ne se voit pas attribuer le rôle personnalisé et ne peut pas passer à l’étape suivante.

3. Accès juste-à-temps basé sur le réseau : Après authentification et autorisation, le rôle personnalisé est temporairement lié à l’identité de l’utilisateur. L’utilisateur demande ensuite un accès JAT à la machine virtuelle. Cet accès ouvre une connexion depuis le sous-réseau Azure Bastion sur le port 3389 pour RDP ou le port 22 pour SSH. La connexion s’exécute directement sur la carte réseau de la machine virtuelle ou sur le sous-réseau de la carte réseau de la machine virtuelle. À l’aide de cette connexion, Azure Bastion ouvre une session RDP interne. La session est limitée au réseau virtuel Azure et n’est pas exposée à l’Internet public.

4. Connexion à la machine virtuelle Azure : à l’aide d’un jeton temporaire, l’utilisateur accède à Azure Bastion. Grâce à ce service, l’utilisateur établit une connexion RDP indirecte à la machine virtuelle Azure. La connexion ne fonctionne que pendant un laps de temps limité.

Components

Cette solution utilise les composants suivants :

• Machines virtuelles Microsoft Azure est une offre IaaS (infrastructure as a service). Vous pouvez utiliser des machines virtuelles pour déployer des ressources de calcul à la demande et évolutives. Dans les environnements de production qui utilisent cette solution, déployez vos charges de travail sur des machines virtuelles Azure. Éliminez ensuite toute exposition inutile à vos machines virtuelles et aux ressources Azure.

• Microsoft Entra ID est un service d’identité basé sur le cloud qui contrôle l’accès à Azure et à d’autres applications cloud.

• PIM est un service Microsoft Entra qui gère, contrôle et surveille l’accès aux ressources importantes. Dans cette solution, ce service :

  • Limite l’accès de l’administrateur permanent aux rôles privilégiés standard et personnalisés.
  • Fournit aux rôles personnalisés un accès juste-à-temps et basé sur l’identité.

• L’accès JAT aux machines virtuelles est une fonctionnalité de Defender pour le cloud qui fournit un accès juste-à-temps basé sur le réseau aux machines virtuelles. Cette fonctionnalité ajoute une règle de refus au groupe de sécurité réseau Azure qui protège l’interface réseau de la machine virtuelle ou le sous-réseau qui contient l’interface réseau de la machine virtuelle. Cette règle réduit la surface d’attaque de la machine virtuelle en bloquant les communications inutiles vers la machine virtuelle. Lorsqu’un utilisateur demande l’accès à la machine virtuelle, le service ajoute une règle d’autorisation temporaire au groupe de sécurité réseau. La règle d’autorisation ayant une priorité plus élevée que la règle de refus, l’utilisateur peut se connecter à la machine virtuelle. Azure Bastion fonctionne le mieux pour se connecter à la machine virtuelle. Toutefois, l’utilisateur peut également utiliser une session RDP ou SSH directe.

• RBAC Azure est un système d’autorisation qui permet une gestion précise des accès aux ressources Azure.

• Les rôles personnalisés RBAC Azure permettent d’étendre les rôles intégrés de RBAC Azure. Vous pouvez les utiliser pour affecter des autorisations à des niveaux qui répondent aux besoins de votre organisation. Ces rôles prennent en charge le principe du moindre privilège (PoLP). Ils accordent uniquement les autorisations dont un utilisateur a besoin pour son objectif. Pour accéder à une machine virtuelle dans cette solution, l’utilisateur obtient des autorisations pour :

  • Utiliser Azure Bastion.
  • Demander un accès juste-à-temps à une machine virtuelle dans Defender pour le cloud.
  • Lire ou répertorier des machines virtuelles.

• L’accès conditionnel Microsoft Entra est un outil que Microsoft Entra ID utilise pour contrôler l’accès aux ressources. Les stratégies d’accès conditionnel prennent en charge le modèle de sécurité Confiance Zéro. Dans cette solution, les stratégies garantissent que seuls les utilisateurs authentifiés obtiennent l’accès aux ressources Azure.

• Azure Bastion offre une connectivité RDP et SSH sécurisée et transparente aux machines virtuelles d’un réseau. Dans cette solution, Azure Bastion connecte les utilisateurs qui utilisent Microsoft Edge ou un autre navigateur Internet pour le protocole HTTPS ou le trafic sécurisé sur le port 443. Azure Bastion configure la connexion RDP à la machine virtuelle. Les ports RDP et SSH ne sont pas exposés à Internet ni à l’origin de l’utilisateur.

  Azure Bastion est facultatif dans cette solution. En utilisant le protocole RDP, les utilisateurs peuvent se connecter directement aux machines virtuelles Azure. Si vous configurez Azure Bastion dans un réseau virtuel Azure, configurez un sous-réseau distinct appelé AzureBastionSubnet. Associez ensuite un groupe de sécurité réseau à ce sous-réseau. Dans ce groupe, spécifiez une source pour le trafic HTTPS, par exemple le bloc de routage CIDR (Classless InterDomain Routing) de l’adresse IP locale de l’utilisateur. Grâce à cette configuration, vous bloquez les connexions qui ne proviennent pas de l’environnement local de l’utilisateur.

  Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

• Husam Hilal | Architecte senior de solutions cloud

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

• Activer mes rôles de ressources Azure dans Privileged Identity Management
• Fonctionnement de l’accès aux machines virtuelles juste-à-temps (JAT)
• Configurer Bastion et se connecter à une machine virtuelle Windows à partir d’un navigateur
• Sécuriser les évènements de connexion des utilisateurs avec l’authentification multifacteur Microsoft Entra

Ressources associées

• Supervision de la sécurité hybride à l’aide de Microsoft Defender pour le cloud et de Microsoft Sentinel
• Considérations de sécurité pour les applications IaaS hautement sensibles dans Azure
• Microsoft Entra IDaaS dans les opérations de sécurité