Szerkesztés

Többrétegű védelem azure-beli virtuális gépek hozzáféréséhez

Microsoft Entra ID
Azure Bastion
Azure Role-based access control
Microsoft Defender for Cloud

Megoldási ötletek

Ez a cikk egy megoldási ötlet. Ha azt szeretné, hogy további információkkal bővítsük a tartalmat, például a lehetséges használati eseteket, alternatív szolgáltatásokat, megvalósítási szempontokat vagy díjszabási útmutatást, a GitHub visszajelzésével tudassa velünk.

Ez a megoldás többrétegű megközelítést biztosít az Azure-beli virtuális gépek (VM-ek) védelméhez. A felhasználóknak felügyeleti és felügyeleti célból kell csatlakozniuk a virtuális gépekhez. Kritikus fontosságú a kapcsolat által létrehozott támadási felület minimalizálása.

Ez a megoldás több védelmi mechanizmus beépítésével nem állandó részletes hozzáférést biztosít a virtuális gépekhez. Összhangban van a minimális jogosultság elvével (PoLP) és a vámok elkülönítésének fogalmával. A támadásoknak való kitettség csökkentése érdekében ez a megoldás zárolja a virtuális gépek bejövő forgalmát, de szükség esetén akadálymentessé teszi a virtuálisgép-kapcsolatokat. Az ilyen típusú védelem megvalósítása minimalizálja a virtuális gépekre irányuló népszerű kibertámadások, például a találgatásos támadások és az elosztott szolgáltatásmegtagadásos (DDoS) támadások kockázatát.

Ez a megoldás számos Azure-szolgáltatást és szolgáltatást használ, többek között a következőket:

  • Microsoft Entra Privileged Identity Management (PIM).
  • A Felhőhöz készült Microsoft Defender igény szerinti (JIT) virtuálisgép-hozzáférési funkciója.
  • Azure Bastion.
  • Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) egyéni szerepkörök.
  • Microsoft Entra Feltételes hozzáférés, opcionálisan.

Lehetséges használati esetek

A mélységi védelem az architektúra fő gondolata. Ez a stratégia több védelmi vonallal is kihívások elé állítja a felhasználókat, mielőtt hozzáférést biztosít a felhasználóknak a virtuális gépekhez. A cél annak biztosítása, hogy:

  • Minden felhasználó jogos.
  • Minden felhasználónak van jogi szándéka.
  • A kommunikáció biztonságos.
  • Az Azure-beli virtuális gépekhez való hozzáférés csak szükség esetén érhető el.

A cikkben szereplő védelmi stratégia és megoldás számos forgatókönyvre vonatkozik:

  • A rendszergazdának az alábbi körülmények között kell hozzáférnie egy Azure-beli virtuális géphez:

    • A rendszergazdának el kell hárítania a problémát, meg kell vizsgálnia a viselkedést, vagy kritikus frissítést kell alkalmaznia.
    • A rendszergazda távoli asztali protokollt (RDP) használ egy Windows rendszerű virtuális gép vagy egy biztonságos rendszerhéj (SSH) eléréséhez a Linux rendszerű virtuális gépek eléréséhez.
    • A hozzáférésnek tartalmaznia kell a munkához szükséges engedélyek minimális számát.
    • A hozzáférésnek csak korlátozott ideig érvényesnek kell lennie.
    • A hozzáférés lejárta után a rendszernek zárolnia kell a virtuálisgép-hozzáférést, hogy megakadályozza a rosszindulatú hozzáférési kísérleteket.

  • Az alkalmazottaknak hozzáférésre van szükségük az Azure-ban virtuális gépként üzemeltetett távoli munkaállomáshoz. A következő feltételek érvényesek:

    • Az alkalmazottak csak munkaidőben férhetnek hozzá a virtuális géphez.
    • A biztonsági rendszernek szükségtelennek és rosszindulatúnak kell tekintenie a virtuális gép munkaidőn kívüli elérésére irányuló kéréseket.

  • A felhasználók azure-beli virtuálisgép-számítási feladatokhoz szeretnének csatlakozni. A rendszernek csak felügyelt és megfelelő eszközökről származó kapcsolatokat kell jóváhagynia.

  • Egy rendszer rengeteg találgatásos támadást tapasztalt:

    • Ezek a támadások azure-beli virtuális gépeket céloztak meg a 3389-ben és a 22-ben található RDP- és SSH-portokon.
    • A támadások megpróbálták kitalálni a hitelesítő adatokat.
    • A megoldásnak meg kell akadályoznia, hogy a 3389-hez és a 22-hez hasonló hozzáférési portok elérhetők legyenek az internet vagy a helyszíni környezetek számára.

Architektúra

Architecture diagram showing how a user gains temporary access to an Azure V M.

Töltse le az architektúra Visio-fájlját.

Adatfolyam

  1. Hitelesítési és hozzáférési döntések: A felhasználó hitelesítése a Microsoft Entra-azonosítón keresztül történik az Azure Portalhoz, az Azure REST API-khoz, az Azure PowerShellhez vagy az Azure CLI-hez való hozzáféréshez. Ha a hitelesítés sikeres, a Microsoft Entra feltételes hozzáférési szabályzata lép érvénybe. Ez a szabályzat ellenőrzi, hogy a felhasználó megfelel-e bizonyos feltételeknek. Ilyen például egy felügyelt eszköz használata vagy egy ismert helyről való bejelentkezés. Ha a felhasználó teljesíti a feltételeket, a feltételes hozzáférés hozzáférést biztosít a felhasználónak az Azure Portalon vagy egy másik felületen keresztül.

  2. Identitásalapú igény szerinti hozzáférés: Az engedélyezés során a Microsoft Entra PIM egy egyéni, jogosult típusú szerepkört rendel a felhasználóhoz. A jogosultság a szükséges erőforrásokra korlátozódik , és időhöz kötött szerepkör, nem állandó . Egy megadott időkereten belül a felhasználó kéri a szerepkör aktiválását az Azure PIM-felületen keresztül. Ez a kérés más műveleteket is elindíthat, például elindíthat egy jóváhagyási munkafolyamatot, vagy többtényezős hitelesítést kérhet a felhasználótól az identitás ellenőrzéséhez. Egy jóváhagyási munkafolyamatban egy másik személynek jóvá kell hagynia a kérést. Ellenkező esetben a felhasználó nincs hozzárendelve az egyéni szerepkörhöz, és nem folytathatja a következő lépést.

  3. Hálózatalapú igény szerinti hozzáférés: A hitelesítés és az engedélyezés után az egyéni szerepkör átmenetileg a felhasználó identitásához lesz csatolva. A felhasználó ezután JIT virtuálisgép-hozzáférést kér. Ez a hozzáférés megnyit egy kapcsolatot az Azure Bastion alhálózatról az RDP 3389-ben vagy az SSH 22-s portján. A kapcsolat közvetlenül a virtuálisgép-hálózati adapterhez (NIC) vagy a virtuálisgép-hálózati adapter alhálózatához fut. Az Azure Bastion ezzel a kapcsolattal nyit meg egy belső RDP-munkamenetet. A munkamenet az Azure-beli virtuális hálózatra korlátozódik, és nem érhető el a nyilvános interneten.

  4. Csatlakozás azure-beli virtuális gépre: A felhasználó egy ideiglenes jogkivonat használatával fér hozzá az Azure Bastionhoz. Ezen a szolgáltatáson keresztül a felhasználó közvetett RDP-kapcsolatot létesít az Azure-beli virtuális géppel. A kapcsolat csak korlátozott ideig működik.

Összetevők

Ez a megoldás a következő összetevőket használja:

  • Az Azure Virtual Machines egy szolgáltatásként nyújtott infrastruktúra-ajánlat (IaaS). A virtuális gépek használatával igény szerinti, méretezhető számítási erőforrásokat helyezhet üzembe. A megoldást használó éles környezetekben helyezze üzembe a számítási feladatokat az Azure-beli virtuális gépeken. Ezután kiküszöbölheti a virtuális gépeknek és az Azure-eszközöknek való szükségtelen kitettséget.

  • A Microsoft Entra ID egy felhőalapú identitásszolgáltatás, amely szabályozza az Azure-hoz és más felhőalkalmazásokhoz való hozzáférést.

  • A PIM egy Microsoft Entra-szolgáltatás, amely kezeli, szabályozza és figyeli a fontos erőforrásokhoz való hozzáférést. Ebben a megoldásban ez a szolgáltatás:

    • Korlátozza az állandó rendszergazdai hozzáférést a szabványos és egyéni emelt szintű szerepkörökhöz.
    • Igény szerinti identitásalapú hozzáférést biztosít az egyéni szerepkörökhöz.

  • A JIT virtuálisgép-hozzáférés a Felhőhöz készült Defender szolgáltatása, amely igény szerinti hálózati hozzáférést biztosít a virtuális gépekhez. Ez a funkció egy megtagadási szabályt ad hozzá az Azure hálózati biztonsági csoporthoz, amely védi a virtuálisgép-hálózati adaptert vagy a virtuálisgép-hálózati adaptert tartalmazó alhálózatot. Ez a szabály minimalizálja a virtuális gép támadási felületét azáltal, hogy blokkolja a virtuális gép felé történő szükségtelen kommunikációt. Amikor egy felhasználó hozzáférést kér a virtuális géphez, a szolgáltatás ideiglenes engedélyezési szabályt ad hozzá a hálózati biztonsági csoporthoz. Mivel az engedélyezési szabály magasabb prioritással rendelkezik, mint a megtagadási szabály, a felhasználó csatlakozhat a virtuális géphez. Az Azure Bastion a legjobban a virtuális géphez való csatlakozáshoz működik a legjobban. A felhasználó azonban közvetlen RDP- vagy SSH-munkamenetet is használhat.

  • Az Azure RBAC egy engedélyezési rendszer, amely részletes hozzáférés-kezelést biztosít az Azure-erőforrásokhoz.

  • Az Egyéni Azure RBAC-szerepkörök lehetővé teszik az Azure RBAC beépített szerepköreinek bővítését. Ezekkel olyan engedélyeket rendelhet hozzá, amelyek megfelelnek a szervezet igényeinek. Ezek a szerepkörök támogatják a PoLP-t. Csak azokat az engedélyeket adja meg, amelyekre a felhasználónak szüksége van a felhasználó számára. Ha egy virtuális gépet szeretne elérni ebben a megoldásban, a felhasználó a következőhöz kap engedélyeket:

    • Az Azure Bastion használata.
    • JIT virtuálisgép-hozzáférés kérése Felhőhöz készült Defender.
    • Virtuális gépek olvasása vagy listázása.

  • A Microsoft Entra Feltételes hozzáférés egy eszköz, amelyet a Microsoft Entra ID az erőforrásokhoz való hozzáférés szabályozására használ. A feltételes hozzáférési szabályzatok támogatják a nulla megbízhatósági biztonsági modellt. Ebben a megoldásban a szabályzatok biztosítják, hogy csak a hitelesített felhasználók férhessenek hozzá az Azure-erőforrásokhoz.

  • Az Azure Bastion biztonságos és zökkenőmentes RDP- és SSH-kapcsolatot biztosít a hálózatban lévő virtuális gépekhez. Ebben a megoldásban az Azure Bastion összekapcsolja a Microsoft Edge-et vagy egy másik böngészőt HTTPS-hez használó felhasználókat, vagy biztonságos forgalmat a 443-as porton. Az Azure Bastion beállítja az RDP-kapcsolatot a virtuális géphez. Az RDP- és SSH-portok nincsenek kitéve az internetnek vagy a felhasználó forrásának.

    Az Azure Bastion nem kötelező ebben a megoldásban. A felhasználók az RDP protokoll használatával közvetlenül csatlakozhatnak az Azure-beli virtuális gépekhez. Ha egy Azure-beli virtuális hálózaton konfigurálja az Azure Bastiont, állítson be egy külön alhálózatot.AzureBastionSubnet Ezután társítsa a hálózati biztonsági csoportot az alhálózathoz. Ebben a csoportban adja meg a HTTPS-forgalom forrását, például a felhasználó helyszíni IP-osztály nélküli tartományközi útválasztási (CIDR) blokkját. Ezzel a konfigurációval letilthatja azokat a kapcsolatokat, amelyek nem a felhasználó helyszíni környezetéből származnak.

    Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések