Redigera

Dela via

Skydd med flera lager för åtkomst till virtuella Azure-datorer

Microsoft Entra ID
Azure Bastion
Azure Role-based access control
Microsoft Defender for Cloud
Azure Key Vault

Lösningsidéer

I den här artikeln beskrivs en lösningsidé. Molnarkitekten kan använda den här vägledningen för att visualisera huvudkomponenterna för en typisk implementering av den här arkitekturen. Använd den här artikeln som utgångspunkt för att utforma en välkonstruerad lösning som överensstämmer med arbetsbelastningens specifika krav.

Den här lösningen erbjuder en strategi med flera lager för att skydda virtuella datorer i Azure. Användarna måste ansluta till virtuella datorer i hanterings- och administrationssyfte. Det är viktigt att bibehålla tillgängligheten samtidigt som attackytan minimeras.

Den här lösningen ger icke-beständig detaljerad åtkomst till virtuella datorer genom att använda flera skyddsmekanismer som erbjuds av Microsoft Azure- och Entra-tjänster. Lösningen överensstämmer med principen om lägsta behörighet (PoLP) och begreppet ansvarsfördelning. För att minska exponeringen för attacker är inkommande trafik till virtuella datorer låst. Det går dock bara att ansluta till den virtuella datorn när det behövs. Dessutom beviljas auktorisering till Azure-molnresurser endast av legitima skäl. Genom att implementera dessa typer av skydd minimeras risken för många populära cyberattacker på virtuella datorer, till exempel råstyrkeattacker och distribuerade DDoS-attacker (Denial-of-Service).

Den här lösningen använder många Azure-tjänster och funktioner, bland annat:

  • Microsoft Entra Privileged Identity Management (PIM).
  • Funktionen för just-in-time-åtkomst (JIT) för virtuella datorer i Microsoft Defender för molnet.
  • Azure Bastion.
  • Anpassade roller för rollbaserad åtkomstkontroll i Azure (Azure RBAC).
  • Villkorsstyrd åtkomst för Microsoft Entra, valfritt.
  • Azure Key Vault, valfritt.

Potentiella användningsfall

Skydd på djupet är huvudidén bakom den här arkitekturen. Den här strategin utmanar användare med flera försvarslinjer innan de ger användarna åtkomst till virtuella datorer. Målet är att säkerställa att:

  • Varje användare har verifierats.
  • Varje användare har legitima avsikter.
  • Kommunikationen är säker.
  • Åtkomst till virtuella datorer i Azure tillhandahålls endast när det behövs.

Djupskyddsstrategin och lösningen i den här artikeln gäller för många scenarier:

  • En administratör måste ha åtkomst till en virtuell Azure-dator under dessa omständigheter:

    • Administratören måste felsöka ett problem, undersöka beteende eller tillämpa en kritisk uppdatering.
    • Administratören använder RDP (Remote Desktop Protocol) för att få åtkomst till en virtuell Windows-dator eller ett säkert gränssnitt (SSH) för att få åtkomst till en virtuell Linux-dator.
    • Åtkomsten bör innehålla det minsta antal behörigheter som krävs för att utföra uppgiften.
    • Åtkomsten ska endast vara giltig under en begränsad tid.
    • När åtkomsten har upphört att gälla bör systemet låsa den virtuella datorns åtkomst för att förhindra försök till skadlig åtkomst.

  • Anställda behöver åtkomst till en fjärrarbetsstation som finns i Azure som en virtuell dator. Följande villkor gäller:

    • De anställda bör endast komma åt den virtuella datorn under arbetstid.
    • Säkerhetssystemet bör överväga begäranden om åtkomst till den virtuella datorn utanför arbetstid onödiga och skadliga.

  • Användare vill ansluta till arbetsbelastningar för virtuella Azure-datorer. Systemet bör godkänna anslutningar som endast kommer från hanterade och kompatibla enheter.

  • Ett system har upplevt ett enormt antal råstyrkeattacker:

    • Dessa attacker har riktats mot virtuella Azure-datorer på RDP- och SSH-portarna 3389 och 22.
    • Attackerna har försökt gissa autentiseringsuppgifterna.
    • Lösningen bör förhindra att åtkomstportar som 3389 och 22 exponeras för Internet eller lokala miljöer.

Arkitektur

Arkitekturdiagram som visar hur en användare får tillfällig åtkomst till en Azure V M.

Ladda ned en Visio-fil med den här arkitekturen.

Dataflöde

  1. Beslut om autentisering och åtkomst: Användaren autentiseras mot Microsoft Entra-ID för åtkomst till Azure-portalen, Azure REST-API:er, Azure PowerShell eller Azure CLI. Om autentiseringen lyckas träder en princip för villkorsstyrd åtkomst i Microsoft Entra i kraft. Den principen verifierar om användaren uppfyller vissa kriterier. Exempel är att använda en hanterad enhet eller logga in från en känd plats. Om användaren uppfyller kriterierna ger villkorsstyrd åtkomst användaren åtkomst till Azure via Azure-portalen eller något annat gränssnitt.

  2. Identitetsbaserad just-in-time-åtkomst: Under auktoriseringen tilldelar Microsoft Entra PIM användaren en anpassad roll av typen berättigad. Behörigheten är begränsad till nödvändiga resurser och är en tidsbunden roll, inte en permanent roll. Inom en angiven tidsram begär användaren aktivering av den här rollen via Azure PIM-gränssnittet. Den begäran kan utlösa andra åtgärder, till exempel att starta ett arbetsflöde för godkännande eller uppmana användaren att verifiera identiteten med multifaktorautentisering. I ett arbetsflöde för godkännande måste en annan person godkänna begäran. Annars tilldelas användaren inte den anpassade rollen och kan inte fortsätta till nästa steg.

  3. Nätverksbaserad just-in-time-åtkomst: Efter autentisering och auktorisering länkas den anpassade rollen tillfälligt till användarens identitet. Användaren begär sedan JIT VM-åtkomst. Den åtkomsten öppnar en anslutning från Azure Bastion-undernätet på port 3389 för RDP eller port 22 för SSH. Anslutningen körs direkt till nätverkskortet för den virtuella datorn (NIC) eller undernätet för virtuellt nätverkskort. Azure Bastion öppnar en intern RDP-session med hjälp av den anslutningen. Sessionen är begränsad till det virtuella Azure-nätverket och är inte exponerad för det offentliga Internet.

  4. Ansluta till den virtuella Azure-datorn: Användaren får åtkomst till Azure Bastion med hjälp av en tillfällig token. Via den här tjänsten upprättar användaren en indirekt RDP-anslutning till den virtuella Azure-datorn. Anslutningen fungerar bara under en begränsad tid. Användaren kan hämta lösenordet från ett Azure Key Vault, om lösenordet lagrades som en hemlighet i Key Vault och tillräckliga RBAC-behörigheter har konfigurerats för att begränsa åtkomsten till rätt användarkonto.

Komponenter

Den här lösningen använder följande komponenter:

  • Azure Virtual Machines är ett IaaS-erbjudande (infrastruktur som en tjänst). Du kan använda virtuella datorer för att distribuera skalbara beräkningsresurser på begäran. Distribuera dina arbetsbelastningar på virtuella Azure-datorer i produktionsmiljöer som använder den här lösningen. Eliminera sedan onödig exponering för dina virtuella datorer och Azure-tillgångar.

  • Microsoft Entra ID är en molnbaserad identitetstjänst som styr åtkomsten till Azure och andra molnappar.

  • PIM är en Microsoft Entra-tjänst som hanterar, kontrollerar och övervakar åtkomst till viktiga resurser. I den här lösningen:

    • Begränsar permanent administratörsåtkomst till standardroller och anpassade privilegierade roller.
    • Ger just-in-time-identitetsbaserad åtkomst till anpassade roller.

  • JIT VM-åtkomst är en funktion i Defender för molnet som ger just-in-time nätverksbaserad åtkomst till virtuella datorer. Den här funktionen lägger till en neka-regel i Azure-nätverkssäkerhetsgruppen som skyddar nätverksgränssnittet för den virtuella datorn eller det undernät som innehåller nätverksgränssnittet för den virtuella datorn. Den regeln minimerar den virtuella datorns attackyta genom att blockera onödig kommunikation till den virtuella datorn. När en användare begär åtkomst till den virtuella datorn lägger tjänsten till en tillfällig regel för att tillåta till nätverkssäkerhetsgruppen. Eftersom tillåt-regeln har högre prioritet än neka-regeln kan användaren ansluta till den virtuella datorn. Azure Bastion fungerar bäst för att ansluta till den virtuella datorn. Men användaren kan också använda en direkt RDP- eller SSH-session.

  • Azure RBAC är ett auktoriseringssystem som ger detaljerad åtkomsthantering av Azure-resurser.

  • Anpassade Azure RBAC-roller är ett sätt att utöka inbyggda Azure RBAC-roller. Du kan använda dem för att tilldela behörigheter på nivåer som uppfyller organisationens behov. De här rollerna stöder PoLP. De beviljar endast de behörigheter som en användare behöver för användarens syfte. För att få åtkomst till en virtuell dator i den här lösningen får användaren behörighet för:

    • Använda Azure Bastion.
    • Begär JIT VM-åtkomst i Defender för molnet.
    • Läsa eller lista virtuella datorer.

  • Villkorsstyrd åtkomst i Microsoft Entra är ett verktyg som Microsoft Entra-ID använder för att styra åtkomsten till resurser. Principer för villkorsstyrd åtkomst stöder säkerhetsmodellen noll förtroende . I den här lösningen ser principerna till att endast autentiserade användare får åtkomst till Azure-resurser.

  • Azure Bastion ger säker och sömlös RDP- och SSH-anslutning till virtuella datorer i ett nätverk. I den här lösningen ansluter Azure Bastion användare som använder Microsoft Edge eller en annan webbläsare för HTTPS eller skyddad trafik på port 443. Azure Bastion konfigurerar RDP-anslutningen till den virtuella datorn. RDP- och SSH-portar exponeras inte för Internet eller användarens ursprung.

    Azure Bastion är valfritt i den här lösningen. Användare kan ansluta direkt till virtuella Azure-datorer med hjälp av RDP-protokollet. Om du konfigurerar Azure Bastion i ett virtuellt Azure-nätverk konfigurerar du ett separat undernät med namnet AzureBastionSubnet. Associera sedan en nätverkssäkerhetsgrupp med det undernätet. I den gruppen anger du en källa för HTTPS-trafik, till exempel användarens lokala CIDR-block (Inter-Domain Routing). Med den här konfigurationen blockerar du anslutningar som inte kommer från användarens lokala miljö.

  • Azure Key Vault tillhandahåller en säker mekanism för att lagra den virtuella datoranvändarens lösenord som en hemlighet. Den hemliga RBAC:n kan konfigureras så att endast det virtuella datoranvändarkontot har behörighet att hämta den. Du kan hämta lösenordsvärdet från nyckelvalvet via Azure-API:er (till exempel använda Azure CLI) eller från Azure-portalen, eftersom Azure Key Vault integreras med Azure Bastion-användargränssnittet.

    Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg