Ochrona wielowarstwowa na potrzeby dostępu do maszyny wirtualnej platformy Azure

To rozwiązanie zapewnia wielowarstwowe podejście do ochrony maszyn wirtualnych na platformie Azure. Użytkownicy muszą łączyć się z maszynami wirtualnymi w celu zarządzania i celów administracyjnych. Niezwykle ważne jest zminimalizowanie obszaru podatnego na ataki, które tworzy łączność.

To rozwiązanie zapewnia nietrwale szczegółowy dostęp do maszyn wirtualnych, włączając kilka mechanizmów ochrony. Jest ona zgodna z zasadą najniższych uprawnień (PoLP) i koncepcją rozdzielenia obowiązków. Aby zmniejszyć narażenie na ataki, to rozwiązanie blokuje ruch przychodzący do maszyn wirtualnych, ale sprawia, że połączenia maszyn wirtualnych są dostępne w razie potrzeby. Implementowanie tego typu ochrony minimalizuje ryzyko wielu popularnych cyberataków na maszynach wirtualnych, takich jak ataki siłowe i rozproszone ataki typu "odmowa usługi" (DDoS).

To rozwiązanie korzysta z wielu usług i funkcji platformy Azure, w tym:

• Microsoft Entra Privileged Identity Management (PIM).
• Funkcja dostępu just in time (JIT) maszyny wirtualnej Microsoft Defender dla Chmury.
• Azure Bastion.
• Role niestandardowe kontroli dostępu opartej na rolach (RBAC) platformy Azure.
• Microsoft Entra Conditional Access, opcjonalnie.

Potencjalne przypadki użycia

Ochrona w głębi systemu to główna idea tej architektury. Ta strategia stanowi wyzwanie dla użytkowników z kilkoma liniami obrony przed przyznaniem użytkownikom dostępu do maszyn wirtualnych. Celem jest zapewnienie, że:

• Każdy użytkownik jest uprawniony.
• Każdy użytkownik ma zamiary prawne.
• Komunikacja jest bezpieczna.
• Dostęp do maszyn wirtualnych na platformie Azure jest zapewniany tylko w razie potrzeby.

Strategia ochrony w głębi systemu i rozwiązanie w tym artykule dotyczą wielu scenariuszy:

• Administrator musi uzyskać dostęp do maszyny wirtualnej platformy Azure w następujących okolicznościach:

  • Administrator musi rozwiązać problem, zbadać zachowanie lub zastosować aktualizację krytyczną.
  • Administrator używa protokołu RDP (Remote Desktop Protocol) do uzyskiwania dostępu do maszyny wirtualnej z systemem Windows lub bezpiecznego powłoki (SSH) w celu uzyskania dostępu do maszyny wirtualnej z systemem Linux.
  • Dostęp powinien zawierać minimalną liczbę uprawnień wymaganych przez pracę.
  • Dostęp powinien być ważny tylko przez ograniczony czas.
  • Po wygaśnięciu dostępu system powinien zablokować dostęp maszyny wirtualnej, aby zapobiec próbom złośliwego dostępu.

• Pracownicy potrzebują dostępu do zdalnej stacji roboczej hostowanej na platformie Azure jako maszyny wirtualnej. Należy uwzględnić następujące warunki:

  • Pracownicy powinni uzyskiwać dostęp do maszyny wirtualnej tylko w godzinach pracy.
  • System zabezpieczeń powinien rozważyć żądania dostępu do maszyny wirtualnej poza godzinami pracy niepotrzebne i złośliwe.

• Użytkownicy chcą łączyć się z obciążeniami maszyn wirtualnych platformy Azure. System powinien zatwierdzać połączenia, które są tylko z zarządzanych i zgodnych urządzeń.

• System doświadczył ogromnej liczby ataków siłowych:

  • Te ataki dotyczą maszyn wirtualnych platformy Azure na portach RDP i SSH 3389 i 22.
  • Ataki próbowały odgadnąć poświadczenia.
  • Rozwiązanie powinno uniemożliwić udostępnianie portów dostępu, takich jak 3389 i 22 w środowiskach internetowych lub lokalnych.

Architektura

Pobierz plik programu Visio z tą architekturą.

Przepływ danych

1. Decyzje dotyczące uwierzytelniania i dostępu: użytkownik jest uwierzytelniany w usłudze Microsoft Entra ID w celu uzyskania dostępu do witryny Azure Portal, interfejsów API REST platformy Azure, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure. Jeśli uwierzytelnianie powiedzie się, zasady dostępu warunkowego firmy Microsoft zostaną zastosowane. Te zasady weryfikują, czy użytkownik spełnia określone kryteria. Przykłady obejmują użycie zarządzanego urządzenia lub zalogowanie się ze znanej lokalizacji. Jeśli użytkownik spełnia kryteria, dostęp warunkowy udziela użytkownikowi dostępu do platformy Azure za pośrednictwem witryny Azure Portal lub innego interfejsu.

2. Dostęp just-in-time oparty na tożsamości: podczas autoryzacji firma Microsoft Entra PIM przypisuje użytkownikowi niestandardową rolę typu kwalifikującą się. Uprawnienia są ograniczone do wymaganych zasobów i są rolą związaną czasowo, a nie stałą. W określonym przedziale czasu użytkownik żąda aktywacji tej roli za pośrednictwem interfejsu usługi Azure PIM. To żądanie może wyzwolić inne akcje, takie jak uruchomienie przepływu pracy zatwierdzania lub monitowanie użytkownika o uwierzytelnianie wieloskładnikowe w celu zweryfikowania tożsamości. W przepływie pracy zatwierdzania inna osoba musi zatwierdzić żądanie. W przeciwnym razie użytkownik nie ma przypisanej roli niestandardowej i nie może przejść do następnego kroku.

3. Dostęp just in time oparty na sieci: po uwierzytelnieniu i autoryzacji rola niestandardowa jest tymczasowo połączona z tożsamością użytkownika. Następnie użytkownik żąda dostępu do maszyny wirtualnej JIT. Ten dostęp otwiera połączenie z podsieci usługi Azure Bastion na porcie 3389 dla protokołu RDP lub portu 22 dla protokołu SSH. Połączenie jest uruchamiane bezpośrednio z kartą sieciową maszyny wirtualnej lub podsiecią karty sieciowej maszyny wirtualnej. Usługa Azure Bastion otwiera wewnętrzną sesję protokołu RDP przy użyciu tego połączenia. Sesja jest ograniczona do sieci wirtualnej platformy Azure i nie jest widoczna w publicznym Internecie.

4. Połączenie do maszyny wirtualnej platformy Azure: użytkownik uzyskuje dostęp do usługi Azure Bastion przy użyciu tokenu tymczasowego. Za pośrednictwem tej usługi użytkownik ustanawia pośrednie połączenie RDP z maszyną wirtualną platformy Azure. Połączenie działa tylko przez ograniczony czas.

Elementy

To rozwiązanie korzysta z następujących składników:

• Usługa Azure Virtual Machines to oferta typu infrastruktura jako usługa (IaaS). Za pomocą usługi Virtual Machines można wdrażać skalowalne zasoby obliczeniowe na żądanie. W środowiskach produkcyjnych korzystających z tego rozwiązania wdróż obciążenia na maszynach wirtualnych platformy Azure. Następnie wyeliminować niepotrzebne narażenie na maszyny wirtualne i zasoby platformy Azure.

• Microsoft Entra ID to oparta na chmurze usługa tożsamości, która kontroluje dostęp do platformy Azure i innych aplikacji w chmurze.

• PIM to usługa firmy Microsoft Entra, która zarządza, kontroluje i monitoruje dostęp do ważnych zasobów. W tym rozwiązaniu ta usługa:

  • Ogranicza stały dostęp administratora do standardowych i niestandardowych ról uprzywilejowanych.
  • Zapewnia dostęp oparty na tożsamości just in time do ról niestandardowych.

• Dostęp do maszyn wirtualnych JIT to funkcja Defender dla Chmury, która zapewnia dostęp just in time do maszyn wirtualnych. Ta funkcja dodaje regułę odmowy do sieciowej grupy zabezpieczeń platformy Azure, która chroni interfejs sieciowy maszyny wirtualnej lub podsieć zawierającą interfejs sieciowy maszyny wirtualnej. Ta reguła minimalizuje obszar ataków maszyny wirtualnej, blokując niepotrzebną komunikację z maszyną wirtualną. Gdy użytkownik żąda dostępu do maszyny wirtualnej, usługa dodaje tymczasową regułę zezwalania do sieciowej grupy zabezpieczeń. Ponieważ reguła zezwalania ma wyższy priorytet niż reguła odmowy, użytkownik może nawiązać połączenie z maszyną wirtualną. Usługa Azure Bastion najlepiej sprawdza się w przypadku nawiązywania połączenia z maszyną wirtualną. Jednak użytkownik może również użyć bezpośredniej sesji protokołu RDP lub SSH.

• Kontrola dostępu oparta na rolach platformy Azure to system autoryzacji, który zapewnia szczegółowe zarządzanie dostępem do zasobów platformy Azure.

• Role niestandardowe RBAC platformy Azure umożliwiają rozwijanie wbudowanych ról RBAC platformy Azure. Można ich używać do przypisywania uprawnień na poziomach spełniających potrzeby organizacji. Te role obsługują funkcje PoLP. Udzielają tylko uprawnień, których potrzebuje użytkownik w celu użytkownika. Aby uzyskać dostęp do maszyny wirtualnej w tym rozwiązaniu, użytkownik otrzymuje uprawnienia:

  • Korzystanie z usługi Azure Bastion.
  • Żądanie dostępu do maszyny wirtualnej JIT w Defender dla Chmury.
  • Odczytywanie lub wyświetlanie listy maszyn wirtualnych.

• Microsoft Entra Conditional Access to narzędzie używane przez firmę Microsoft Entra ID do kontrolowania dostępu do zasobów. Zasady dostępu warunkowego obsługują model zabezpieczeń zerowego zaufania . W tym rozwiązaniu zasady zapewniają, że tylko uwierzytelnieni użytkownicy uzyskują dostęp do zasobów platformy Azure.

• Usługa Azure Bastion zapewnia bezpieczną i bezproblemową łączność RDP i SSH z maszynami wirtualnymi w sieci. W tym rozwiązaniu usługa Azure Bastion łączy użytkowników korzystających z przeglądarki Microsoft Edge lub innej przeglądarki internetowej dla protokołu HTTPS lub zabezpieczonego ruchu na porcie 443. Usługa Azure Bastion konfiguruje połączenie RDP z maszyną wirtualną. Porty RDP i SSH nie są widoczne dla Internetu ani źródła użytkownika.

  Usługa Azure Bastion jest opcjonalna w tym rozwiązaniu. Użytkownicy mogą łączyć się bezpośrednio z maszynami wirtualnymi platformy Azure przy użyciu protokołu RDP. Jeśli skonfigurujesz usługę Azure Bastion w sieci wirtualnej platformy Azure, skonfiguruj oddzielną podsieć o nazwie AzureBastionSubnet. Następnie skojarz sieciową grupę zabezpieczeń z tej podsieci. W tej grupie określ źródło ruchu HTTPS, takie jak lokalny blok routingu międzydomenowego (CIDR) bezklasowego routingu międzydomenowego użytkownika. Korzystając z tej konfiguracji, blokujesz połączenia, które nie pochodzą ze środowiska lokalnego użytkownika.

  Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

• Husam Hilal | Starszy architekt rozwiązań w chmurze

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

• Aktywowanie ról zasobów platformy Azure w usłudze Privileged Identity Management
• Informacje o dostępie just in time (JIT) do maszyny wirtualnej
• Konfigurowanie usługi Bastion i nawiązywanie połączenia z maszyną wirtualną z systemem Windows za pośrednictwem przeglądarki
• Zabezpieczanie zdarzeń logowania użytkownika za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft

Powiązane zasoby

• Monitorowanie zabezpieczeń hybrydowych za pośrednictwem Microsoft Defender dla Chmury i usługi Microsoft Sentinel
• Zagadnienia dotyczące zabezpieczeń dla wysoce wrażliwych aplikacji IaaS na platformie Azure
• Microsoft Entra IDaaS w operacjach zabezpieczeń