Bewerken

Meerlaagse beveiliging voor toegang tot virtuele Azure-machines

Microsoft Entra ID
Azure Bastion
Azure Role-based access control
Microsoft Defender for Cloud

Oplossingsideeën

Dit artikel is een oplossingsidee. Als u wilt dat we de inhoud uitbreiden met meer informatie, zoals mogelijke use cases, alternatieve services, implementatieoverwegingen of prijsrichtlijnen, laat het ons dan weten door GitHub-feedback te geven.

Deze oplossing biedt een meerlaagse benadering voor het beveiligen van virtuele machines (VM's) in Azure. Gebruikers moeten verbinding maken met VM's voor beheer- en beheerdoeleinden. Het is essentieel om de kwetsbaarheid voor aanvallen te minimaliseren die door de connectiviteit wordt gemaakt.

Deze oplossing bereikt niet-permanente gedetailleerde toegang tot VM's door verschillende beveiligingsmechanismen op te nemen. Het is afgestemd op het beginsel van minimale bevoegdheid (PoLP) en het concept van scheiding van taken. Om de blootstelling aan aanvallen te verminderen, wordt met deze oplossing binnenkomend verkeer naar VM's vergrendeld, maar zijn VM-verbindingen toegankelijk wanneer dat nodig is. Door dit type beveiliging te implementeren, wordt het risico van veel populaire cyberaanvallen op VM's geminimaliseerd, zoals beveiligingsaanvallen en DDoS-aanvallen (Distributed Denial of Service).

Deze oplossing maakt gebruik van veel Azure-services en -functies, waaronder:

  • Microsoft Entra Privileged Identity Management (PIM).
  • De Just-In-Time-VM-toegangsfunctie (JIT) van Microsoft Defender voor Cloud.
  • Azure Bastion.
  • Aangepaste rollen voor op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).
  • Voorwaardelijke toegang van Microsoft Entra, optioneel.

Potentiële gebruikscases

Diepgaande verdediging is het belangrijkste idee achter deze architectuur. Deze strategie daagt gebruikers uit met verschillende verdedigingslijnen voordat ze toegang krijgen tot VM's. Het doel is om ervoor te zorgen dat:

  • Elke gebruiker is legitiem.
  • Elke gebruiker heeft juridische intenties.
  • Communicatie is veilig.
  • Toegang tot VM's in Azure wordt alleen geboden wanneer dat nodig is.

De diepgaande verdedigingsstrategie en de oplossing in dit artikel zijn van toepassing op veel scenario's:

  • Een beheerder moet onder deze omstandigheden toegang krijgen tot een Virtuele Azure-machine:

    • De beheerder moet een probleem oplossen, gedrag onderzoeken of een kritieke update toepassen.
    • De beheerder gebruikt Remote Desktop Protocol (RDP) om toegang te krijgen tot een Windows-VM of SSH (Secure Shell) voor toegang tot een Linux-VM.
    • De toegang moet het minimale aantal machtigingen bevatten dat het werk vereist.
    • De toegang mag slechts een beperkte tijd geldig zijn.
    • Nadat de toegang is verlopen, moet het systeem de toegang tot de VM vergrendelen om schadelijke toegangspogingen te voorkomen.

  • Werknemers hebben toegang nodig tot een extern werkstation dat wordt gehost in Azure als vm. De volgende voorwaarden zijn van toepassing:

    • De werknemers mogen alleen tijdens werkuren toegang krijgen tot de virtuele machine.
    • Het beveiligingssysteem moet aanvragen overwegen om toegang te krijgen tot de virtuele machine buiten kantooruren onnodig en schadelijk.

  • Gebruikers willen verbinding maken met Azure VM-workloads. Het systeem moet verbindingen goedkeuren die alleen afkomstig zijn van beheerde en compatibele apparaten.

  • Een systeem heeft een enorm aantal beveiligingsaanvallen meegemaakt:

    • Deze aanvallen hebben gericht op Azure-VM's op RDP- en SSH-poorten 3389 en 22.
    • De aanvallen hebben geprobeerd de referenties te raden.
    • De oplossing moet voorkomen dat toegangspoorten zoals 3389 en 22 worden blootgesteld aan internet- of on-premises omgevingen.

Architectuur

Architecture diagram showing how a user gains temporary access to an Azure V M.

Een Visio-bestand van deze architectuur downloaden.

Gegevensstroom

  1. Beslissingen over verificatie en toegang: de gebruiker wordt geverifieerd op basis van Microsoft Entra ID voor toegang tot Azure Portal, Azure REST API's, Azure PowerShell of de Azure CLI. Als de verificatie slaagt, wordt een beleid voor voorwaardelijke toegang van Microsoft Entra van kracht. Dit beleid controleert of de gebruiker aan bepaalde criteria voldoet. Voorbeelden hiervan zijn het gebruik van een beheerd apparaat of het aanmelden vanaf een bekende locatie. Als de gebruiker aan de criteria voldoet, verleent voorwaardelijke toegang de gebruiker via Azure Portal of een andere interface toegang tot Azure.

  2. Just-In-Time-toegang op basis van identiteit: Tijdens autorisatie wijst Microsoft Entra PIM de gebruiker een aangepaste rol toe van het type dat in aanmerking komt. De geschiktheid is beperkt tot vereiste resources en is een tijdgebonden rol, niet een permanente rol. Binnen een opgegeven tijdsbestek vraagt de gebruiker om activering van deze rol via de Azure PIM-interface. Deze aanvraag kan andere acties activeren, zoals het starten van een goedkeuringswerkstroom of het vragen van de gebruiker om meervoudige verificatie om de identiteit te verifiëren. In een goedkeuringswerkstroom moet een andere persoon de aanvraag goedkeuren. Anders wordt de aangepaste rol niet toegewezen aan de gebruiker en kan deze niet doorgaan naar de volgende stap.

  3. Just-In-Time-toegang op basis van het netwerk: Na verificatie en autorisatie wordt de aangepaste rol tijdelijk gekoppeld aan de identiteit van de gebruiker. De gebruiker vraagt vervolgens JIT VM-toegang aan. Deze toegang opent een verbinding vanuit het Azure Bastion-subnet op poort 3389 voor RDP of poort 22 voor SSH. De verbinding wordt rechtstreeks uitgevoerd met de NIC (Network Interface Card) of het NIC-subnet van de VM. Azure Bastion opent een interne RDP-sessie met behulp van die verbinding. De sessie is beperkt tot het virtuele Azure-netwerk en wordt niet blootgesteld aan het openbare internet.

  4. Verbinding maken naar de Virtuele Azure-machine: de gebruiker heeft toegang tot Azure Bastion met behulp van een tijdelijk token. Via deze service brengt de gebruiker een indirecte RDP-verbinding tot stand met de Azure-VM. De verbinding werkt slechts gedurende een beperkte tijd.

Onderdelen

Deze oplossing maakt gebruik van de volgende onderdelen:

  • Azure Virtual Machines is een IaaS-aanbieding (Infrastructure-as-a-Service). U kunt virtuele machines gebruiken om on-demand, schaalbare computingresources te implementeren. In productieomgevingen die deze oplossing gebruiken, implementeert u uw workloads op Azure-VM's. Verwijder vervolgens onnodige blootstelling aan uw VM's en Azure-assets.

  • Microsoft Entra ID is een identiteitsservice in de cloud waarmee de toegang tot Azure en andere cloud-apps wordt beheerd.

  • PIM is een Microsoft Entra-service die de toegang tot belangrijke resources beheert, beheert en bewaakt. In deze oplossing gaat u als volgt te werk:

    • Hiermee beperkt u de permanente beheerderstoegang tot standaard- en aangepaste bevoorrechte rollen.
    • Biedt Just-In-Time-identiteitstoegang tot aangepaste rollen.

  • JIT VM-toegang is een functie van Defender voor Cloud die Just-In-Time-netwerktoegang biedt tot VM's. Met deze functie wordt een regel voor weigeren toegevoegd aan de Azure-netwerkbeveiligingsgroep die de VM-netwerkinterface of het subnet beveiligt dat de VM-netwerkinterface bevat. Deze regel minimaliseert het kwetsbaarheid voor aanvallen van de virtuele machine door onnodige communicatie met de VIRTUELE machine te blokkeren. Wanneer een gebruiker toegang tot de virtuele machine aanvraagt, voegt de service een tijdelijke regel voor toestaan toe aan de netwerkbeveiligingsgroep. Omdat de regel voor toestaan een hogere prioriteit heeft dan de regel voor weigeren, kan de gebruiker verbinding maken met de VIRTUELE machine. Azure Bastion werkt het beste om verbinding te maken met de virtuele machine. Maar de gebruiker kan ook een directe RDP- of SSH-sessie gebruiken.

  • Azure RBAC is een autorisatiesysteem dat gedetailleerd toegangsbeheer van Azure-resources biedt.

  • Aangepaste Azure RBAC-rollen bieden een manier om uit te breiden op ingebouwde Azure RBAC-rollen. U kunt ze gebruiken om machtigingen toe te wijzen op niveaus die voldoen aan de behoeften van uw organisatie. Deze rollen ondersteunen PoLP. Ze verlenen alleen de machtigingen die een gebruiker nodig heeft voor het doel van de gebruiker. Voor toegang tot een VIRTUELE machine in deze oplossing krijgt de gebruiker machtigingen voor:

    • Azure Bastion gebruiken.
    • JIT VM-toegang aanvragen in Defender voor Cloud.
    • VM's lezen of vermelden.

  • Voorwaardelijke toegang van Microsoft Entra is een hulpprogramma dat door Microsoft Entra ID wordt gebruikt om de toegang tot resources te beheren. Beleid voor voorwaardelijke toegang biedt ondersteuning voor het zero trust-beveiligingsmodel . In deze oplossing zorgt het beleid ervoor dat alleen geverifieerde gebruikers toegang krijgen tot Azure-resources.

  • Azure Bastion biedt veilige en naadloze RDP- en SSH-connectiviteit met VM's in een netwerk. In deze oplossing verbindt Azure Bastion gebruikers die Microsoft Edge of een andere internetbrowser gebruiken voor HTTPS of beveiligd verkeer op poort 443. Azure Bastion stelt de RDP-verbinding met de VIRTUELE machine in. RDP- en SSH-poorten worden niet blootgesteld aan internet of de oorsprong van de gebruiker.

    Azure Bastion is optioneel in deze oplossing. Gebruikers kunnen rechtstreeks verbinding maken met virtuele Azure-machines met behulp van het RDP-protocol. Als u Azure Bastion in een virtueel Azure-netwerk configureert, stelt u een afzonderlijk subnet in met de naam AzureBastionSubnet. Koppel vervolgens een netwerkbeveiligingsgroep aan dat subnet. Geef in deze groep een bron op voor HTTPS-verkeer, zoals het CIDR-blok (Inter-Domain Routing) van de gebruiker. Door deze configuratie te gebruiken, blokkeert u verbindingen die niet afkomstig zijn van de on-premises omgeving van de gebruiker.

    Inzenders

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen