Protezione multi-livello per l'accesso alle macchine virtuali di Azure

Questa soluzione offre una strategia multilivello per la protezione delle macchine virtuali (VM) in Azure, garantendo l'accessibilità riducendo al minimo la superficie di attacco per scopi amministrativi e di gestione.

Allineato alla raccomandazione sulla sicurezza di Microsoft, questa soluzione incorpora diversi meccanismi di protezione offerti dai servizi Microsoft Azure e Entra, rispettando i principi di sicurezza in base alla progettazione, sicuri per impostazione predefinita e operazioni sicure.

• Progettato per essere sicuro. La soluzione ottiene un accesso granulare non persistente alle macchine virtuali implementando il principio dei privilegi minimi e il concetto di separazione dei compiti. Ciò garantisce che l'autorizzazione alle macchine virtuali venga concessa solo per motivi legittimi, riducendo il rischio di accesso non autorizzato.

• Sicurezza per impostazione predefinita. Il traffico in ingresso verso le macchine virtuali è bloccato, consentendo la connettività solo quando necessario. Questo comportamento di sicurezza predefinito riduce al minimo l'esposizione a molti attacchi informatici popolari, ad esempio attacchi di forza bruta e DDoS (Distributed Denial of Service).

• Operazioni sicure. È fondamentale implementare il monitoraggio continuo e investire nel miglioramento dei controlli di sicurezza per soddisfare le minacce attuali e future. Usare vari servizi e funzionalità di Azure, ad esempio Microsoft Entra Privileged Identity Management (PIM), la funzionalità di accesso JIT (Just-In-Time) alle macchine virtuali di Microsoft Defender per il cloud, Azure Bastion, il controllo degli accessi in base al ruolo di Azure. Facoltativamente, è consigliabile prendere in considerazione l'accesso condizionale di Microsoft Entra per regolare l'accesso alle risorse di Azure e Azure Key Vault per archiviare le password locali delle macchine virtuali se non integrate con Entra ID o Active Direcory Domain Services.

Potenziali casi d'uso

La difesa avanzata è la premessa alla base di questa architettura. Questa strategia sfida gli utenti con diverse linee di difesa prima di concedere agli utenti l'accesso alle macchine virtuali. L'obiettivo è garantire che:

• Ogni utente viene verificato.
• Ogni utente ha intenzioni legittime.
• La comunicazione è protetta.
• L'accesso alle macchine virtuali in Azure viene fornito solo quando necessario.

La strategia di difesa avanzata e la soluzione in questo articolo si applicano a molti scenari:

• Un amministratore deve accedere a una macchina virtuale di Azure in queste circostanze:

  • L'amministratore deve risolvere un problema, analizzare il comportamento o applicare un aggiornamento critico.
  • L'amministratore usa Remote Desktop Protocol (RDP) per accedere a una macchina virtuale Windows o a una shell sicura (SSH) per accedere a una macchina virtuale Linux.
  • L'accesso deve includere il numero minimo di autorizzazioni necessarie per l'esecuzione dell'attività.
  • L'accesso deve essere valido solo per un periodo di tempo limitato.
  • Dopo la scadenza dell'accesso, il sistema deve bloccare l'accesso alla macchina virtuale per impedire tentativi di accesso dannoso.

• I dipendenti devono accedere a una workstation remota ospitata in Azure come macchina virtuale. Vengono applicate le seguenti condizioni:

  • I dipendenti devono accedere alla macchina virtuale solo durante l'orario di lavoro.
  • Il sistema di sicurezza deve prendere in considerazione le richieste di accesso alla macchina virtuale al di fuori dell'orario lavorativo non necessario e dannoso.

• Gli utenti vogliono connettersi ai carichi di lavoro delle macchine virtuali di Azure. Il sistema deve approvare le connessioni solo da dispositivi gestiti e conformi.

• Un sistema ha sperimentato un numero enorme di attacchi di forza bruta:

  • Questi attacchi hanno mirato macchine virtuali di Azure su RDP e porte SSH 3389 e 22.
  • Gli attacchi hanno cercato di indovinare le credenziali.
  • La soluzione deve impedire che le porte di accesso, ad esempio 3389 e 22, vengano esposte agli ambienti Internet o locali.

Architettura

Scaricare un file di Visio di questa architettura.

Flusso di dati

1. Decisioni relative all'autenticazione e all'accesso: l'utente viene autenticato con Microsoft Entra ID per accedere alle portale di Azure, alle API REST di Azure, ad Azure PowerShell o all'interfaccia della riga di comando di Azure. Se l'autenticazione ha esito positivo, viene applicato un criterio di accesso condizionale di Microsoft Entra. Tale criterio verifica se l'utente soddisfa determinati criteri. Gli esempi includono l'uso di un dispositivo gestito o l'accesso da una posizione nota. Se l'utente soddisfa i criteri, l'accesso condizionale concede all'utente l'accesso ad Azure tramite il portale di Azure o un'altra interfaccia.

2. Accesso JUST-In-Time basato sull'identità: durante l'autorizzazione, Microsoft Entra PIM assegna all'utente un ruolo personalizzato di tipo idoneo. L'idoneità è limitata alle risorse necessarie ed è un ruolo associato a tempo, non permanente. Entro un intervallo di tempo specificato, l'utente richiede l'attivazione di questo ruolo tramite l'interfaccia di Azure PIM. Tale richiesta può attivare altre azioni, ad esempio l'avvio di un flusso di lavoro di approvazione o la richiesta all'utente di eseguire l'autenticazione a più fattori per verificare l'identità. In un flusso di lavoro di approvazione, un'altra persona deve approvare la richiesta. In caso contrario, all'utente non viene assegnato il ruolo personalizzato e non può continuare con il passaggio successivo.

3. Accesso JUST-In-Time basato sulla rete: dopo l'autenticazione e l'autorizzazione, il ruolo personalizzato viene temporaneamente collegato all'identità dell'utente. L'utente richiede quindi l'accesso jit alla macchina virtuale. Tale accesso apre una connessione dalla subnet di Azure Bastion sulla porta 3389 per RDP o la porta 22 per SSH. La connessione viene eseguita direttamente alla scheda di interfaccia di rete della macchina virtuale o alla subnet della scheda di interfaccia di rete della macchina virtuale. Azure Bastion apre una sessione RDP interna usando tale connessione. La sessione è limitata alla rete virtuale di Azure e non è esposta alla rete Internet pubblica.

4. Connessione alla macchina virtuale di Azure: l'utente accede ad Azure Bastion usando un token temporaneo. Tramite questo servizio, l'utente stabilisce una connessione RDP indiretta alla macchina virtuale di Azure. La connessione funziona solo per un periodo di tempo limitato. L'utente può recuperare la password da un insieme di credenziali delle chiavi di Azure, se la password è stata archiviata come segreto nell'insieme di credenziali delle chiavi e le autorizzazioni di controllo degli accessi in base al ruolo sufficienti sono configurate per limitare l'accesso all'account utente appropriato.

Componenti

In questa soluzione vengono usati i componenti seguenti:

• Azure Virtual Machines offre una soluzione di infrastruttura come servizio (IaaS, Infrastructure as a Service). È possibile usare Macchine virtuali per distribuire risorse di elaborazione scalabili su richiesta. Negli ambienti di produzione che usano questa soluzione distribuire i carichi di lavoro nelle macchine virtuali di Azure. Eliminare quindi l'esposizione non necessaria alle macchine virtuali e agli asset di Azure.

• Microsoft Entra ID è un servizio di gestione delle identità basato sul cloud che controlla l'accesso ad Azure e ad altre app cloud.

• PIM è un servizio Microsoft Entra che gestisce, controlla e monitora l'accesso a risorse importanti. In questa soluzione questo servizio:

  • Limita l'accesso amministratore permanente ai ruoli con privilegi standard e personalizzati.
  • Fornisce l'accesso just-in-time basato sulle identità ai ruoli personalizzati.

• L'accesso JIT alle macchine virtuali è una funzionalità di Defender per il cloud che fornisce l'accesso jit in base alla rete alle macchine virtuali. Questa funzionalità aggiunge una regola di negazione al gruppo di sicurezza di rete di Azure che protegge l'interfaccia di rete vm o la subnet che contiene l'interfaccia di rete della macchina virtuale. Questa regola riduce al minimo la superficie di attacco della macchina virtuale bloccando le comunicazioni non necessarie alla macchina virtuale. Quando un utente richiede l'accesso alla macchina virtuale, il servizio aggiunge una regola di autorizzazione temporanea al gruppo di sicurezza di rete. Poiché la regola di autorizzazione ha priorità più alta rispetto alla regola di negazione, l'utente può connettersi alla macchina virtuale. Azure Bastion funziona meglio per la connessione alla macchina virtuale. Ma l'utente può anche usare una sessione RDP o SSH diretta.

• Il controllo degli accessi in base al ruolo (RBAC) di Azure è un sistema di autorizzazione più recente che offre una gestione degli accessi alle risorse di Azure più specifica.

• I ruoli personalizzati controllo degli accessi in base al ruolo di Azure consentono di espandere i ruoli predefiniti del controllo degli accessi in base al ruolo di Azure. È possibile usarli per assegnare autorizzazioni a livelli che soddisfano le esigenze dell'organizzazione. Questi ruoli supportano PoLP. Concedono solo le autorizzazioni necessarie a un utente per lo scopo dell'utente. Per accedere a una macchina virtuale in questa soluzione, l'utente ottiene le autorizzazioni per:

  • Uso di Azure Bastion.
  • Richiedere l'accesso alla macchina virtuale JIT in Defender for Cloud.
  • Lettura o presentazione di macchine virtuali.

• L'accesso condizionale di Microsoft Entra è uno strumento usato da Microsoft Entra ID per controllare l'accesso alle risorse. I criteri di accesso condizionale supportano il modello di sicurezza zero trust . In questa soluzione i criteri assicurano che solo gli utenti autenticati ottengano l'accesso alle risorse di Azure.

• Azure Bastion offre connettività RDP e SSH sicura e semplice alle macchine virtuali in una rete. In questa soluzione Azure Bastion connette gli utenti che usano Microsoft Edge o un altro browser Internet per HTTPS o il traffico protetto sulla porta 443. Azure Bastion configura la connessione RDP alla macchina virtuale. Le porte RDP e SSH non sono esposte a Internet o all'origine dell'utente.

  Azure Bastion è facoltativo in questa soluzione. Gli utenti possono connettersi direttamente alle macchine virtuali di Azure usando il protocollo RDP. Se si configura Azure Bastion in una rete virtuale di Azure, configurare una subnet separata denominata AzureBastionSubnet. Aggiunge un gruppo di sicurezza di rete associato alla subnet. In tale gruppo specificare un'origine per il traffico HTTPS, ad esempio il blocco CIDR (Classless Inter-Domain Routing) dell'utente locale. Usando questa configurazione, si bloccano le connessioni che non provengono dall'ambiente locale dell'utente.

• Azure Key Vault offre un meccanismo sicuro per archiviare la password dell'utente della macchina virtuale come segreto. Il controllo degli accessi in base al ruolo segreto può essere configurato in modo che solo l'account utente che accede alla macchina virtuale disponga dell'autorizzazione per recuperarla. Il recupero del valore della password dall'insieme di credenziali delle chiavi può essere eseguito tramite le API di Azure (ad esempio usando l'interfaccia della riga di comando di Azure) o dal portale di Azure, poiché Azure Key Vault si integra con l'interfaccia utente di Azure Bastion nel pannello della macchina virtuale nel portale di Azure.

  Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

• Husam Hilal | Architetto senior di soluzioni cloud

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

• Attivare i miei ruoli delle risorse Azure in Privileged Identity Management
• Informazioni sull'accesso JIT alle macchine virtuali
• Configurare Bastion e connettersi a una VM Windows tramite un browser
• Proteggere gli eventi di accesso degli utenti con l'autenticazione a più fattori Microft Entra

Risorse correlate

• Monitoraggio della sicurezza in ambienti ibridi con Microsoft Defender for Cloud e Microsoft Sentinel
• Considerazioni sulla sicurezza per le app IaaS altamente riservate in Azure
• Microsoft Entra IDaaS nelle operazioni di sicurezza