Azure sanal makine erişimi için çok katmanlı koruma

Bu çözüm, Azure'da sanal makineleri (VM) korumaya yönelik çok katmanlı bir strateji sunar. Kullanıcıların yönetim ve yönetim amacıyla VM'lere bağlanması gerekir. Saldırı yüzeyini en aza indirirken erişilebilirliği korumak çok önemlidir.

Bu çözüm, Microsoft Azure ve Entra hizmetleri tarafından sunulan çeşitli koruma mekanizmalarını birleştirerek VM'lere kalıcı olmayan ayrıntılı erişim sağlar. Çözüm, en az ayrıcalık ilkesi (PoLP) ve görev ayrımı kavramıyla uyumlu hale getirmektedir. Saldırılara maruz kalma riskini azaltmak için VM'lere gelen trafik kilitlenir. Ancak VM'ye bağlantı yalnızca gerektiğinde mümkündür. Ayrıca Azure bulut kaynaklarına yetkilendirme yalnızca yasal nedenlerle verilir. Bu koruma türlerinin uygulanması, deneme yanılma ve dağıtılmış hizmet reddi (DDoS) saldırıları gibi VM'lere yönelik birçok popüler siber saldırı riskini en aza indirir.

Bu çözüm, aşağıdakiler dahil olmak üzere birçok Azure hizmetini ve özelliğini kullanır:

• Microsoft Entra Privileged Identity Management (PIM).
• Bulut için Microsoft Defender tam zamanında (JIT) VM erişim özelliği.
• Azure Bastion.
• Azure rol tabanlı erişim denetimi (Azure RBAC) özel rolleri.
• İsteğe bağlı olarak Microsoft Entra Koşullu Erişim.
• İsteğe bağlı olarak Azure Key Vault.

Olası kullanım örnekleri

Derinlemesine savunma, bu mimarinin arkasındaki ana fikirdir. Bu strateji, kullanıcılara VM'lere erişim vermeden önce çeşitli savunma hatlarına sahip kullanıcılara meydan okur. Amaç, aşağıdakileri sağlamaktır:

• Her kullanıcı doğrulanır.
• Her kullanıcının meşru amaçları vardır.
• İletişim güvenlidir.
• Azure'daki VM'lere erişim yalnızca gerektiğinde sağlanır.

Derinlemesine savunma stratejisi ve bu makaledeki çözüm birçok senaryo için geçerlidir:

• Bir yöneticinin şu koşullar altında bir Azure VM'ye erişmesi gerekir:

  • Yöneticinin bir sorunu gidermesi, davranışı incelemesi veya kritik bir güncelleştirme uygulaması gerekir.
  • Yönetici, Bir Windows VM'ye erişmek için Uzak Masaüstü Protokolü'nü (RDP) veya Linux VM'ye erişmek için güvenli kabuk (SSH) kullanır.
  • Erişim, görevi gerçekleştirmek için gereken en az izin sayısını içermelidir.
  • Erişim yalnızca sınırlı bir süre için geçerli olmalıdır.
  • Erişimin süresi dolduktan sonra sistemin kötü amaçlı erişim girişimlerini önlemek için VM erişimini kilitlemesi gerekir.

• Çalışanların Azure'da VM olarak barındırılan uzak bir iş istasyonuna erişmesi gerekir. Aşağıdaki koşullar geçerlidir:

  • Çalışanların VM'ye yalnızca çalışma saatlerinde erişmesi gerekir.
  • Güvenlik sistemi, vm'ye çalışma saatleri dışında erişim isteklerini gereksiz ve kötü amaçlı olarak düşünmelidir.

• Kullanıcılar Azure VM iş yüklerine bağlanmak istiyor. Sistem yalnızca yönetilen ve uyumlu cihazlardan gelen bağlantıları onaylamalıdır.

• Bir sistem çok sayıda deneme yanılma saldırısı yaşadı:

  • Bu saldırılar RDP ve SSH bağlantı noktaları 3389 ve 22 üzerindeki Azure VM'lerini hedeflemektedir.
  • Saldırılar kimlik bilgilerini tahmin etmeye çalıştı.
  • Çözüm, 3389 ve 22 gibi erişim bağlantı noktalarının İnternet'e veya şirket içi ortamlara açık olmasını engellemelidir.

Mimari

Bu mimarinin bir Visio dosyasını indirin.

Veri akışı

1. Kimlik doğrulaması ve erişim kararları: Kullanıcının Kimliği Microsoft Entra Id ile doğrulanır ve Azure portalına, Azure REST API'lerine, Azure PowerShell'e veya Azure CLI'ya erişir. Kimlik doğrulaması başarılı olursa, Microsoft Entra Koşullu Erişim ilkesi geçerli olur. Bu ilke, kullanıcının belirli ölçütleri karşılayıp karşılamadığını doğrular. Yönetilen cihaz kullanma veya bilinen bir konumdan oturum açma örnekleri verilebilir. Kullanıcı ölçütleri karşılarsa, Koşullu Erişim kullanıcıya Azure portalı veya başka bir arabirim aracılığıyla Azure erişimi verir.

2. Kimlik tabanlı tam zamanında erişim: Yetkilendirme sırasında, Microsoft Entra PIM kullanıcıya uygun türde bir özel rol atar. Uygunluk gerekli kaynakla sınırlıdır ve kalıcı bir rol değil zamana bağlı bir roldür. Belirtilen zaman dilimi içinde kullanıcı, Azure PIM arabirimi aracılığıyla bu rolün etkinleştirilmesini ister. Bu istek, onay iş akışı başlatma veya kullanıcıdan kimliği doğrulamak için çok faktörlü kimlik doğrulaması isteme gibi diğer eylemleri tetikleyebilir. Onay iş akışında başka bir kişinin isteği onaylaması gerekir. Aksi takdirde kullanıcıya özel rol atanmamış olur ve sonraki adıma devamlenemez.

3. Ağ tabanlı tam zamanında erişim: Kimlik doğrulaması ve yetkilendirmeden sonra özel rol geçici olarak kullanıcının kimliğine bağlanır. Kullanıcı daha sonra JIT VM erişimi istemektedir. Bu erişim, RDP için 3389 numaralı bağlantı noktasındaki Azure Bastion alt ağından veya SSH için 22 numaralı bağlantı noktasından bir bağlantı açar. Bağlantı doğrudan VM ağ arabirimi kartına (NIC) veya VM NIC alt ağına çalışır. Azure Bastion, bu bağlantıyı kullanarak bir iç RDP oturumu açar. Oturum Azure sanal ağıyla sınırlıdır ve genel İnternet'e açık değildir.

4. Azure VM'ye bağlanma: Kullanıcı geçici bir belirteç kullanarak Azure Bastion'a erişir. Bu hizmet aracılığıyla kullanıcı, Azure VM'ye dolaylı bir RDP bağlantısı kurar. Bağlantı yalnızca sınırlı bir süre için çalışır. Parola Key Vault'ta gizli dizi olarak depolanmışsa ve erişimi uygun kullanıcı hesabıyla sınırlandırmak için yeterli RBAC izinleri yapılandırılmışsa, kullanıcı parolayı Azure Key Vault'tan alabilir.

Bileşenler

Bu çözüm aşağıdaki bileşenleri kullanır:

• Azure Sanal Makineler bir hizmet olarak altyapı (IaaS) teklifidir. İsteğe bağlı, ölçeklenebilir bilgi işlem kaynaklarını dağıtmak için Sanal Makineler kullanabilirsiniz. Bu çözümü kullanan üretim ortamlarında iş yüklerinizi Azure VM'lerine dağıtın. Ardından VM'lerinize ve Azure varlıklarınıza gereksiz maruz kalma durumlarını ortadan kaldırın.

• Microsoft Entra Id , Azure'a ve diğer bulut uygulamalarına erişimi denetleen bulut tabanlı bir kimlik hizmetidir.

• PIM , önemli kaynaklara erişimi yöneten, denetleyan ve izleyen bir Microsoft Entra hizmetidir. Bu çözümde, bu hizmet:

  • Standart ve özel ayrıcalıklı rollere kalıcı yönetici erişimini sınırlar.
  • Özel rollere tam zamanında kimlik tabanlı erişim sağlar.

• JIT VM erişimi, VM'lere tam zamanında ağ tabanlı erişim sağlayan bir Bulut için Defender özelliğidir. Bu özellik, AZURE ağ güvenlik grubuna VM ağ arabirimini veya VM ağ arabirimini içeren alt ağı koruyan bir reddetme kuralı ekler. Bu kural, VM ile gereksiz iletişimi engelleyerek VM'nin saldırı yüzeyini en aza indirir. Kullanıcı VM'ye erişim istediğinde, hizmet ağ güvenlik grubuna geçici bir izin verme kuralı ekler. İzin verme kuralı reddetme kuralından daha yüksek önceliğe sahip olduğundan, kullanıcı VM'ye bağlanabilir. Azure Bastion, VM'ye bağlanmak için en iyi şekilde çalışır. Ancak kullanıcı doğrudan RDP veya SSH oturumu da kullanabilir.

• Azure RBAC , Azure kaynaklarının ayrıntılı erişim yönetimini sağlayan bir yetkilendirme sistemidir.

• Azure RBAC özel rolleri , Azure RBAC yerleşik rollerini genişletmek için bir yol sağlar. Kuruluşunuzun gereksinimlerini karşılayan düzeylerde izin atamak için bunları kullanabilirsiniz. Bu roller PoLP'i destekler. Yalnızca kullanıcının amacı için ihtiyaç duyduğu izinleri verir. Bu çözümdeki bir VM'ye erişmek için kullanıcı şunların izinlerini alır:

  • Azure Bastion kullanma.
  • Bulut için Defender'da JIT VM erişimi isteniyor.
  • VM'leri okuma veya listeleme.

• Microsoft Entra Koşullu Erişim , Microsoft Entra Id'nin kaynaklara erişimi denetlemek için kullandığı bir araçtır. Koşullu Erişim ilkeleri sıfır güven güvenlik modelini destekler. Bu çözümde ilkeler yalnızca kimliği doğrulanmış kullanıcıların Azure kaynaklarına erişmesini sağlar.

• Azure Bastion , bir ağdaki VM'lere güvenli ve sorunsuz RDP ve SSH bağlantısı sağlar. Bu çözümde Azure Bastion, HTTPS için Microsoft Edge veya başka bir internet tarayıcısı kullanan kullanıcılara ya da 443 numaralı bağlantı noktasında güvenli trafiğe bağlanır. Azure Bastion, VM ile RDP bağlantısını ayarlar. RDP ve SSH bağlantı noktaları İnternet'e veya kullanıcının kaynağına açık değildir.

  Azure Bastion bu çözümde isteğe bağlıdır. Kullanıcılar RDP protokolunu kullanarak doğrudan Azure VM'lerine bağlanabilir. Azure Bastion'ı bir Azure sanal ağında yapılandırdıysanız adlı AzureBastionSubnetayrı bir alt ağ ayarlayın. Ardından bir ağ güvenlik grubunu bu alt ağ ile ilişkilendirin. Bu grupta, kullanıcının şirket içi IP sınıfsız etki alanları arası yönlendirme (CIDR) bloğu gibi HTTPS trafiği için bir kaynak belirtin. Bu yapılandırmayı kullanarak, kullanıcının şirket içi ortamından gelmeyen bağlantıları engellersiniz.

• Azure Key Vault, VM kullanıcısının parolasını gizli dizi olarak depolamak için güvenli bir mekanizma sağlar. Gizli dizi RBAC, yalnızca VM kullanıcı hesabının bunu alma iznine sahip olması için yapılandırılabilir. Anahtar kasasından parola değerini alma işlemi Azure API'leri (Azure CLI kullanımı gibi) aracılığıyla veya Azure Portal'dan yapılabilir. Azure Key Vault, Azure Bastion kullanıcı arabirimiyle tümleştirilebilir.

  Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Husam Hilal | Üst Düzey Bulut Çözümü Mimarı

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

• Privileged Identity Management'ta Azure kaynak rollerimi etkinleştirme
• Tam zamanında (JIT) VM erişimini anlama
• Bastion'ı yapılandırma ve tarayıcı üzerinden Bir Windows VM'sine bağlanma
• Microsoft Entra çok faktörlü kimlik doğrulaması ile kullanıcı oturum açma olaylarının güvenliğini sağlama

İlgili kaynaklar

• Bulut için Microsoft Defender ve Microsoft Sentinel aracılığıyla karma güvenlik izleme
• Azure'da son derece hassas IaaS uygulamaları için güvenlikle ilgili dikkat edilmesi gerekenler
• Güvenlik İşlemlerinde Microsoft Entra IDaaS