Redigera

Skydd med flera lager för åtkomst till virtuella Azure-datorer

Microsoft Entra ID
Azure Bastion
Azure Role-based access control
Microsoft Defender for Cloud

Lösningsidéer

Den här artikeln är en lösningsidé. Om du vill att vi ska utöka innehållet med mer information, till exempel potentiella användningsfall, alternativa tjänster, implementeringsöverväganden eller prisvägledning, kan du meddela oss genom att ge GitHub-feedback.

Den här lösningen tillhandahåller en metod med flera lager för att skydda virtuella datorer i Azure. Användarna måste ansluta till virtuella datorer i hanterings- och administrationssyfte. Det är viktigt att minimera den attackyta som anslutningen skapar.

Den här lösningen ger icke-beständiga detaljerad åtkomst till virtuella datorer genom att använda flera skyddsmekanismer. Den överensstämmer med principen om minsta behörighet (PoLP) och begreppet ansvarsfördelning. För att minska exponeringen för attacker låser den här lösningen inkommande trafik till virtuella datorer, men gör VM-anslutningar tillgängliga när det behövs. Genom att implementera den här typen av skydd minimeras risken för många populära cyberattacker på virtuella datorer, till exempel råstyrkeattacker och distribuerade överbelastningsattacker (DDoS).

Den här lösningen använder många Azure-tjänster och funktioner, bland annat:

  • Microsoft Entra Privileged Identity Management (PIM).
  • Jit-åtkomstfunktionen (just-in-time) för virtuella datorer i Microsoft Defender för molnet.
  • Azure Bastion.
  • Anpassade roller för rollbaserad åtkomstkontroll i Azure (Azure RBAC).
  • Villkorsstyrd åtkomst för Microsoft Entra, valfritt.

Potentiella användningsfall

Skydd på djupet är huvudidén bakom den här arkitekturen. Den här strategin utmanar användare med flera försvarslinjer innan de ger användarna åtkomst till virtuella datorer. Målet är att säkerställa att:

  • Varje användare är legitim.
  • Varje användare har juridiska avsikter.
  • Kommunikationen är säker.
  • Åtkomst till virtuella datorer i Azure tillhandahålls endast när det behövs.

Djupskyddsstrategin och lösningen i den här artikeln gäller för många scenarier:

  • En administratör måste ha åtkomst till en virtuell Azure-dator under dessa omständigheter:

    • Administratören måste felsöka ett problem, undersöka beteende eller tillämpa en kritisk uppdatering.
    • Administratören använder RDP (Remote Desktop Protocol) för att få åtkomst till en virtuell Windows-dator eller ett säkert gränssnitt (SSH) för att få åtkomst till en virtuell Linux-dator.
    • Åtkomsten bör innehålla det minsta antal behörigheter som krävs för arbetet.
    • Åtkomsten ska endast vara giltig under en begränsad tid.
    • När åtkomsten har upphört att gälla bör systemet låsa den virtuella datorns åtkomst för att förhindra försök till skadlig åtkomst.

  • Anställda behöver åtkomst till en fjärrarbetsstation som finns i Azure som en virtuell dator. Följande villkor gäller:

    • De anställda bör endast komma åt den virtuella datorn under arbetstid.
    • Säkerhetssystemet bör överväga begäranden om åtkomst till den virtuella datorn utanför arbetstid onödiga och skadliga.

  • Användare vill ansluta till arbetsbelastningar för virtuella Azure-datorer. Systemet bör godkänna anslutningar som endast kommer från hanterade och kompatibla enheter.

  • Ett system har upplevt ett enormt antal råstyrkeattacker:

    • Dessa attacker har riktats mot virtuella Azure-datorer på RDP- och SSH-portarna 3389 och 22.
    • Attackerna har försökt gissa autentiseringsuppgifterna.
    • Lösningen bör förhindra att åtkomstportar som 3389 och 22 exponeras för Internet eller lokala miljöer.

Arkitektur

Architecture diagram showing how a user gains temporary access to an Azure V M.

Ladda ned en Visio-fil med den här arkitekturen.

Dataflöde

  1. Beslut om autentisering och åtkomst: Användaren autentiseras mot Microsoft Entra-ID för åtkomst till Azure-portalen, Azure REST-API:er, Azure PowerShell eller Azure CLI. Om autentiseringen lyckas träder en princip för villkorsstyrd åtkomst i Microsoft Entra i kraft. Den principen verifierar om användaren uppfyller vissa kriterier. Exempel är att använda en hanterad enhet eller logga in från en känd plats. Om användaren uppfyller kriterierna ger villkorsstyrd åtkomst användaren åtkomst till Azure via Azure-portalen eller något annat gränssnitt.

  2. Identitetsbaserad just-in-time-åtkomst: Under auktoriseringen tilldelar Microsoft Entra PIM användaren en anpassad roll av typen berättigad. Behörigheten är begränsad till nödvändiga resurser och är en tidsbunden roll, inte en permanent roll. Inom en angiven tidsram begär användaren aktivering av den här rollen via Azure PIM-gränssnittet. Den begäran kan utlösa andra åtgärder, till exempel att starta ett arbetsflöde för godkännande eller uppmana användaren att verifiera identiteten med multifaktorautentisering. I ett arbetsflöde för godkännande måste en annan person godkänna begäran. Annars tilldelas användaren inte den anpassade rollen och kan inte fortsätta till nästa steg.

  3. Nätverksbaserad just-in-time-åtkomst: Efter autentisering och auktorisering länkas den anpassade rollen tillfälligt till användarens identitet. Användaren begär sedan JIT VM-åtkomst. Den åtkomsten öppnar en anslutning från Azure Bastion-undernätet på port 3389 för RDP eller port 22 för SSH. Anslutningen körs direkt till nätverkskortet för den virtuella datorn (NIC) eller undernätet för virtuellt nätverkskort. Azure Bastion öppnar en intern RDP-session med hjälp av den anslutningen. Sessionen är begränsad till det virtuella Azure-nätverket och är inte exponerad för det offentliga Internet.

  4. Anslut till den virtuella Azure-datorn: Användaren får åtkomst till Azure Bastion med hjälp av en tillfällig token. Via den här tjänsten upprättar användaren en indirekt RDP-anslutning till den virtuella Azure-datorn. Anslutningen fungerar bara under en begränsad tid.

Komponenter

Den här lösningen använder följande komponenter:

  • Azure Virtual Machines är ett IaaS-erbjudande (infrastruktur som en tjänst). Du kan använda virtuella datorer för att distribuera skalbara beräkningsresurser på begäran. Distribuera dina arbetsbelastningar på virtuella Azure-datorer i produktionsmiljöer som använder den här lösningen. Eliminera sedan onödig exponering för dina virtuella datorer och Azure-tillgångar.

  • Microsoft Entra ID är en molnbaserad identitetstjänst som styr åtkomsten till Azure och andra molnappar.

  • PIM är en Microsoft Entra-tjänst som hanterar, kontrollerar och övervakar åtkomst till viktiga resurser. I den här lösningen:

    • Begränsar permanent administratörsåtkomst till standardroller och anpassade privilegierade roller.
    • Ger just-in-time-identitetsbaserad åtkomst till anpassade roller.

  • JIT VM-åtkomst är en funktion i Defender för molnet som ger just-in-time nätverksbaserad åtkomst till virtuella datorer. Den här funktionen lägger till en neka-regel i Azure-nätverkssäkerhetsgruppen som skyddar nätverksgränssnittet för den virtuella datorn eller det undernät som innehåller nätverksgränssnittet för den virtuella datorn. Den regeln minimerar den virtuella datorns attackyta genom att blockera onödig kommunikation till den virtuella datorn. När en användare begär åtkomst till den virtuella datorn lägger tjänsten till en tillfällig regel för att tillåta till nätverkssäkerhetsgruppen. Eftersom tillåt-regeln har högre prioritet än neka-regeln kan användaren ansluta till den virtuella datorn. Azure Bastion fungerar bäst för att ansluta till den virtuella datorn. Men användaren kan också använda en direkt RDP- eller SSH-session.

  • Azure RBAC är ett auktoriseringssystem som ger detaljerad åtkomsthantering av Azure-resurser.

  • Anpassade Azure RBAC-roller är ett sätt att utöka inbyggda Azure RBAC-roller. Du kan använda dem för att tilldela behörigheter på nivåer som uppfyller organisationens behov. De här rollerna stöder PoLP. De beviljar endast de behörigheter som en användare behöver för användarens syfte. För att få åtkomst till en virtuell dator i den här lösningen får användaren behörighet för:

    • Använda Azure Bastion.
    • Begär JIT VM-åtkomst i Defender för molnet.
    • Läsa eller lista virtuella datorer.

  • Villkorsstyrd åtkomst i Microsoft Entra är ett verktyg som Microsoft Entra-ID använder för att styra åtkomsten till resurser. Principer för villkorsstyrd åtkomst stöder säkerhetsmodellen noll förtroende . I den här lösningen ser principerna till att endast autentiserade användare får åtkomst till Azure-resurser.

  • Azure Bastion ger säker och sömlös RDP- och SSH-anslutning till virtuella datorer i ett nätverk. I den här lösningen ansluter Azure Bastion användare som använder Microsoft Edge eller en annan webbläsare för HTTPS eller skyddad trafik på port 443. Azure Bastion konfigurerar RDP-anslutningen till den virtuella datorn. RDP- och SSH-portar exponeras inte för Internet eller användarens ursprung.

    Azure Bastion är valfritt i den här lösningen. Användare kan ansluta direkt till virtuella Azure-datorer med hjälp av RDP-protokollet. Om du konfigurerar Azure Bastion i ett virtuellt Azure-nätverk konfigurerar du ett separat undernät med namnet AzureBastionSubnet. Associera sedan en nätverkssäkerhetsgrupp med det undernätet. I den gruppen anger du en källa för HTTPS-trafik, till exempel användarens lokala CIDR-block (Inter-Domain Routing). Med den här konfigurationen blockerar du anslutningar som inte kommer från användarens lokala miljö.

    Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg