Edit

Bagikan melalui

Perlindungan beberapa lapis untuk akses Azure Virtual Machine

Microsoft Entra ID
Azure Bastion
Azure Role-based access control
Microsoft Defender for Cloud
Azure Key Vault

Ide solusi

Artikel ini menjelaskan ide solusi. Arsitek cloud Anda dapat menggunakan panduan ini untuk membantu memvisualisasikan komponen utama untuk implementasi umum arsitektur ini. Gunakan artikel ini sebagai titik awal untuk merancang solusi yang dirancang dengan baik yang selaras dengan persyaratan spesifik beban kerja Anda.

Solusi ini menawarkan strategi multilayer untuk melindungi komputer virtual (VM) di Azure. Pengguna perlu terhubung ke VM untuk tujuan manajemen dan administratif. Sangat penting untuk mempertahankan aksesibilitas sambil meminimalkan permukaan serangan.

Solusi ini mencapai akses terperinci non-persisten ke VM dengan menggabungkan beberapa mekanisme perlindungan yang ditawarkan oleh layanan Microsoft Azure dan Entra. Solusinya selaras dengan prinsip hak istimewa paling sedikit (PoLP) dan konsep pemisahan tugas. Untuk mengurangi paparan serangan, lalu lintas masuk ke VM dikunci. Namun, konektivitas ke VM hanya dimungkinkan saat diperlukan. Selain itu, otorisasi ke sumber daya cloud Azure hanya diberikan karena alasan yang sah. Menerapkan jenis perlindungan ini meminimalkan risiko banyak serangan cyber populer pada VM, seperti serangan brute-force dan distributed denial-of-service (DDoS).

Solusi ini menggunakan banyak layanan dan fitur Azure termasuk:

  • Microsoft Entra Privileged Identity Management (PIM).
  • Fitur akses VM just-in-time (JIT) dari Microsoft Defender untuk Cloud.
  • Azure Bastion.
  • Peran kustom kontrol akses berbasis peran Azure (Azure RBAC).
  • Microsoft Entra Conditional Access, secara opsional.
  • Azure Key Vault, secara opsional.

Kemungkinan kasus penggunaan

Pertahanan secara mendalam adalah ide utama di balik arsitektur ini. Strategi ini menantang pengguna dengan beberapa garis pertahanan sebelum memberikan pengguna akses ke VM. Tujuannya adalah untuk memastikan bahwa:

  • Setiap pengguna diverifikasi.
  • Setiap pengguna memiliki niat yang sah.
  • Komunikasi aman.
  • Akses ke VM di Azure hanya disediakan saat diperlukan.

Strategi pertahanan secara mendalam dan solusi dalam artikel ini berlaku untuk banyak skenario:

  • Administrator perlu mengakses Azure VM dalam situasi seperti ini:

    • Administrator perlu memecahkan masalah, menyelidiki perilaku, atau menerapkan pembaruan penting.
    • Administrator menggunakan Remote Desktop Protocol (RDP) untuk mengakses VM Windows atau shell aman (SSH) untuk mengakses VM Linux.
    • Akses harus mencakup jumlah minimum izin yang diperlukan untuk melakukan tugas.
    • Akses harus berlaku hanya untuk waktu yang terbatas.
    • Setelah akses berakhir, sistem harus mengunci akses VM untuk mencegah upaya akses berbahaya.

  • Karyawan memerlukan akses ke stasiun kerja jarak jauh yang dihosting di Azure sebagai VM. Ketentuan berikut berlaku:

    • Karyawan harus mengakses VM hanya selama jam kerja.
    • Sistem keamanan harus mempertimbangkan permintaan untuk mengakses VM di luar jam kerja yang tidak perlu dan berbahaya.

  • Pengguna ingin terhubung ke beban kerja Azure VM. Sistem harus menyetujui koneksi yang hanya dari perangkat yang dikelola dan sesuai.

  • Sistem telah mengalami banyak sekali serangan brute-force:

    • Serangan ini telah menargetkan Azure VM pada port RDP dan SSH 3389 dan 22.
    • Serangan telah mencoba menebak info masuk.
    • Solusinya harus mencegah port akses seperti 3389 dan 22 terpapar internet atau lingkungan lokal.

Sistem

Diagram arsitektur yang menunjukkan bagaimana pengguna mendapatkan akses sementara ke Azure V M.

Unduh file Visio arsitektur ini.

Aliran data

  1. Keputusan autentikasi dan akses: Pengguna diautentikasi terhadap ID Microsoft Entra untuk mengakses portal Azure, AZURE REST API, Azure PowerShell, atau Azure CLI. Jika autentikasi berhasil, kebijakan Akses Bersyarat Microsoft Entra akan berlaku. Kebijakan tersebut memverifikasi apakah pengguna memenuhi kriteria tertentu. Contohnya termasuk menggunakan perangkat terkelola atau masuk dari lokasi yang dikenal. Jika pengguna memenuhi kriteria, Akses Bersyarat memberikan akses pengguna ke Azure melalui portal Microsoft Azure atau antarmuka lain.

  2. Akses just-in-time berbasis identitas: Selama otorisasi, Microsoft Entra PIM menetapkan peran kustom jenis pengguna yang memenuhi syarat. Kelayakan terbatas pada sumber daya yang diperlukan dan merupakan peran yang terikat waktu, bukan yang permanen. Dalam jangka waktu tertentu, pengguna meminta aktivasi peran ini melalui antarmuka Azure PIM. Permintaan tersebut dapat memicu tindakan lain, seperti memulai alur kerja persetujuan atau mendorong pengguna untuk autentikasi multifaktor untuk memverifikasi identitas. Dalam alur kerja persetujuan, orang lain perlu menyetujui permintaan tersebut. Jika tidak, pengguna tidak diberikan peran kustom dan tidak dapat melanjutkan ke langkah berikutnya.

  3. Akses just-in-time berbasis jaringan: Setelah autentikasi dan otorisasi, peran kustom ditautkan ke identitas pengguna untuk sementara. Kemudian pengguna meminta akses JIT VM. Akses itu membuka koneksi dari subnet Azure Bastion di port 3389 untuk RDP atau port 22 untuk SSH. Koneksi berjalan langsung ke kartu antarmuka jaringan (NIC) atau subnet VM NIC. Azure Bastion membuka sesi RDP internal dengan menggunakan koneksi tersebut. Sesi ini terbatas pada jaringan virtual Azure dan tidak terpapar ke internet publik.

  4. Menyambungkan ke Azure VM: Pengguna mengakses Azure Bastion dengan menggunakan token sementara. Melalui layanan ini, pengguna membuat koneksi RDP tidak langsung ke Azure VM. Koneksi hanya berfungsi untuk waktu yang terbatas. Pengguna dapat mengambil kata sandi dari Azure Key Vault, jika kata sandi disimpan sebagai rahasia di Key Vault, dan izin RBAC yang memadai dikonfigurasi untuk membatasi akses ke akun pengguna yang sesuai.

Komponen

Solusi ini menggunakan komponen-komponen berikut:

  • Azure Virtual Machines merupakan infrastruktur sebagai layanan (IaaS) yang ditawarkan. Anda dapat menggunakan Virtual Machines untuk menyebarkan sumber daya komputasi sesuai permintaan dan terukur. Di lingkungan produksi yang menggunakan solusi ini, terapkan beban kerja Anda di Azure VM. Kemudian hapus eksposur yang tidak perlu ke VM dan aset Azure Anda.

  • MICROSOFT Entra ID adalah layanan identitas berbasis cloud yang mengontrol akses ke Azure dan aplikasi cloud lainnya.

  • PIM adalah layanan Microsoft Entra yang mengelola, mengontrol, dan memantau akses ke sumber daya penting. Dalam solusi ini, layanan ini:

    • Membatasi akses administrator permanen ke peran istimewa standar dan kustom.
    • Menyediakan akses berbasis identitas just-in-time ke peran kustom.

  • Akses JIT VM adalah fitur Defender untuk Cloud yang menyediakan akses berbasis jaringan just-in-time ke VM. Fitur ini menambahkan aturan penolakan ke grup keamanan jaringan Azure yang melindungi antarmuka jaringan VM atau subnet yang berisi antarmuka jaringan VM. Aturan itu meminimalkan permukaan serangan VM dengan memblokir komunikasi yang tidak perlu ke VM. Saat pengguna meminta akses ke VM, layanan menambahkan aturan izinkan sementara ke grup keamanan jaringan. Karena aturan izinkan memiliki prioritas yang lebih tinggi daripada aturan penolakan, pengguna dapat terhubung ke VM. Azure Bastion berfungsi paling baik untuk menghubungkan ke VM. Tetapi pengguna juga dapat menggunakan sesi RDP atau SSH langsung.

  • Azure RBAC adalah sistem otorisasi yang menyediakan manajemen akses yang mendetail ke sumber daya Azure.

  • Peran kustom Azure RBAC menyediakan cara untuk memperluas peran bawaan Azure RBAC. Anda dapat menggunakannya untuk menetapkan izin pada tingkat yang memenuhi kebutuhan organisasi Anda. Peran ini mendukung PoLP. Mereka hanya memberikan izin yang dibutuhkan pengguna untuk tujuan pengguna. Untuk mengakses VM dalam solusi ini, pengguna mendapatkan izin untuk:

    • Menggunakan Azure Bastion.
    • Meminta akses JIT VM di Defender untuk Cloud.
    • Membaca atau membuat daftar VM.

  • Microsoft Entra Conditional Access adalah alat yang digunakan MICROSOFT Entra ID untuk mengontrol akses ke sumber daya. Kebijakan Akses Bersyarat mendukung model keamanan zero trust. Dalam solusi ini, kebijakan memastikan bahwa hanya pengguna yang diautentikasi yang mendapatkan akses ke sumber daya Azure.

  • Azure Bastion menyediakan konektivitas RDP dan SSH yang aman dan lancar ke VM dalam jaringan. Dalam solusi ini, Azure Bastion menghubungkan pengguna yang menggunakan Microsoft Edge atau browser internet lain untuk HTTPS, atau lalu lintas aman di port 443. Azure Bastion menyiapkan koneksi RDP ke VM. Port RDP dan SSH tidak terpapar ke internet atau asal pengguna.

    Azure Bastion bersifat opsional dalam solusi ini. Pengguna dapat terhubung langsung ke Azure VM dengan menggunakan protokol RDP. Jika Anda mengonfigurasi Azure Bastion di jaringan virtual Azure, siapkan subnet terpisah yang disebut AzureBastionSubnet. Kemudian kaitkan grup keamanan jaringan dengan subnet tersebut. Dalam grup tersebut, tentukan sumber lalu lintas HTTPS seperti blok perutean antar-domain tanpa kelas (CIDR) IP lokal pengguna. Dengan menggunakan konfigurasi ini, Anda memblokir koneksi yang tidak berasal dari lingkungan lokal pengguna.

  • Azure Key Vault menyediakan mekanisme aman untuk menyimpan kata sandi pengguna VM sebagai rahasia. RBAC rahasia dapat dikonfigurasi sehingga hanya akun pengguna VM yang memiliki izin untuk mengambilnya. Mengambil nilai kata sandi dari brankas kunci dapat dilakukan melalui Azure API (seperti menggunakan Azure CLI) atau dari portal Azure, karena Azure Key Vault terintegrasi dengan antarmuka pengguna Azure Bastion.

    Kontributor

Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.

Penulis utama:

Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.

Langkah berikutnya