Dela via

Skydd med flera lager för åtkomst till virtuella Azure-datorer

Microsoft Entra ID
Azure Bastion
Rollbaserad Azure-åtkomstkontroll
Microsoft Defender for Cloud
Azure Key Vault

Lösningsidéer

I den här artikeln beskrivs en lösningsidé. Molnarkitekten kan använda den här vägledningen för att visualisera huvudkomponenterna för en typisk implementering av den här arkitekturen. Använd den här artikeln som utgångspunkt för att utforma en välkonstruerad lösning som överensstämmer med arbetsbelastningens specifika krav.

Den här lösningen erbjuder en strategi med flera lager för att skydda virtuella datorer i Azure, vilket säkerställer tillgänglighet samtidigt som attackytan minimeras för hantering och administration.

I enlighet med Microsofts säkerhetsrekommendations innehåller den här lösningen flera skyddsmekanismer som erbjuds av Microsoft Azure- och Entra-tjänster, som följer principerna för säker design, säker som standard och säkra åtgärder.

  • Säker avsiktligt. Lösningen ger icke-beständig detaljerad åtkomst till virtuella datorer genom att implementera principen om minsta behörighet och begreppet ansvarsfördelning. Detta säkerställer att auktorisering till de virtuella datorerna endast beviljas av legitima skäl, vilket minskar risken för obehörig åtkomst.

  • Skydda som standard. Inkommande trafik till virtuella datorer är låst, vilket endast tillåter anslutning när det behövs. Den här standardsäkerhetsstatusen minimerar exponeringen för många populära cyberattacker som råstyrkeattacker och distribuerade DDoS-attacker (Denial Of Service).

  • Säkra åtgärder. Det är viktigt att implementera kontinuerlig övervakning och investera i att förbättra säkerhetskontrollerna för att möta aktuella och framtida hot. Använd olika Azure-tjänster och funktioner som Microsoft Entra Privileged Identity Management (PIM), just-in-time-funktionen (JIT) för VM-åtkomst i Microsoft Defender för molnet, Azure Bastion, azure-rollbaserad åtkomstkontroll (Azure RBAC) anpassade roller. Du bör också överväga villkorsstyrd åtkomst i Microsoft Entra för att reglera åtkomsten till Azure-resurser och Azure Key Vault för lagring av lokala lösenord för virtuella datorer om de inte är integrerade med Entra ID eller Active Directory Domain Services.

Potentiella användningsfall

Skydd på djupet är premissen bakom den här arkitekturen. Den här strategin utmanar användare med flera försvarslinjer innan de ger användarna åtkomst till virtuella datorer. Målet är att säkerställa att:

  • Varje användare har verifierats.
  • Varje användare har legitima avsikter.
  • Kommunikationen är säker.
  • Åtkomst till virtuella datorer i Azure tillhandahålls endast när det behövs.

Djupskyddsstrategin och lösningen i den här artikeln gäller för många scenarier:

  • En administratör måste ha åtkomst till en virtuell Azure-dator under dessa omständigheter:

    • Administratören måste felsöka ett problem, undersöka beteende eller tillämpa en kritisk uppdatering.
    • Administratören använder RDP (Remote Desktop Protocol) för att få åtkomst till en virtuell Windows-dator eller ett säkert gränssnitt (SSH) för att få åtkomst till en virtuell Linux-dator.
    • Åtkomsten bör innehålla det minsta antal behörigheter som krävs för att utföra uppgiften.
    • Åtkomsten ska endast vara giltig under en begränsad tid.
    • När åtkomsten har upphört att gälla bör systemet låsa den virtuella datorns åtkomst för att förhindra försök till skadlig åtkomst.

  • Anställda behöver åtkomst till en fjärrarbetsstation som finns i Azure som en virtuell dator. Följande villkor gäller:

    • De anställda bör endast komma åt den virtuella datorn under arbetstid.
    • Säkerhetssystemet bör överväga begäranden om åtkomst till den virtuella datorn utanför arbetstid onödiga och skadliga.

  • Användare vill ansluta till arbetsbelastningar för virtuella Azure-datorer. Systemet bör godkänna anslutningar som endast kommer från hanterade och kompatibla enheter.

  • Ett system har upplevt ett enormt antal råstyrkeattacker:

    • Dessa attacker har riktats mot virtuella Azure-datorer på RDP- och SSH-portarna 3389 och 22.
    • Attackerna har försökt gissa autentiseringsuppgifterna.
    • Lösningen bör förhindra att åtkomstportar som 3389 och 22 exponeras för Internet eller lokala miljöer.

Arkitektur

Arkitekturdiagram som visar hur en användare får tillfällig åtkomst till en Azure V M.

Ladda ned en Visio-fil med den här arkitekturen.

Dataflöde

  1. Beslut om autentisering och åtkomst: Användaren autentiseras mot Microsoft Entra-ID för att få åtkomst till Azure Portal, Azure REST API:er, Azure PowerShell eller Azure CLI. Om autentiseringen lyckas träder en princip för villkorsstyrd åtkomst i Microsoft Entra i kraft. Den principen verifierar om användaren uppfyller vissa kriterier. Exempel är att använda en hanterad enhet eller logga in från en känd plats. Om användaren uppfyller kriterierna ger villkorsstyrd åtkomst användaren åtkomst till Azure via Azure Portal eller ett annat gränssnitt.

  2. Identitetsbaserad just-in-time-åtkomst: Under auktoriseringen tilldelar Microsoft Entra PIM användaren en anpassad roll av typen berättigad. Behörigheten är begränsad till nödvändiga resurser och är en tidsbunden roll, inte en permanent roll. Inom en angiven tidsram begär användaren aktivering av den här rollen via Azure PIM-gränssnittet. Den begäran kan utlösa andra åtgärder, till exempel att starta ett arbetsflöde för godkännande eller uppmana användaren att verifiera identiteten med multifaktorautentisering. I ett arbetsflöde för godkännande måste en annan person godkänna begäran. Annars tilldelas användaren inte den anpassade rollen och kan inte fortsätta till nästa steg.

  3. Nätverksbaserad just-in-time-åtkomst: Efter autentisering och auktorisering länkas den anpassade rollen tillfälligt till användarens identitet. Användaren begär sedan JIT VM-åtkomst. Den åtkomsten öppnar en anslutning från Azure Bastion-undernätet på port 3389 för RDP eller port 22 för SSH. Anslutningen körs direkt till nätverkskortet för den virtuella datorn (NIC) eller undernätet för virtuellt nätverkskort. Azure Bastion öppnar en intern RDP-session med hjälp av den anslutningen. Sessionen är begränsad till det virtuella Azure-nätverket och är inte exponerad för det offentliga Internet.

  4. Ansluta till den virtuella Azure-datorn: Användaren får åtkomst till Azure Bastion med hjälp av en tillfällig token. Via den här tjänsten upprättar användaren en indirekt RDP-anslutning till den virtuella Azure-datorn. Anslutningen fungerar bara under en begränsad tid. Användaren kan hämta lösenordet från ett Azure Key Vault, om lösenordet lagrades som en hemlighet i Key Vault och tillräckliga RBAC-behörigheter har konfigurerats för att begränsa åtkomsten till rätt användarkonto.

Komponenter

Den här lösningen använder följande komponenter:

  • Azure Virtual Machines är ett IaaS-erbjudande (infrastruktur som en tjänst) som tillhandahåller skalbara beräkningsresurser. I den här arkitekturen är virtuella Azure-datorer värdar för produktionsarbetsbelastningar samtidigt som exponeringen för hot minimeras genom säkerhetskontroller i flera lager.

  • Microsoft Entra ID är en molnbaserad identitetstjänst som hanterar åtkomst till Azure och andra molnprogram. I den här arkitekturen autentiserar den användare och tillämpar åtkomstprinciper för att säkerställa säker åtkomst till Azure-resurser.

  • Microsoft Entra PIM är en tjänst som styr och övervakar privilegierad åtkomst till resurser. I den här arkitekturen begränsar PIM permanent administratörsåtkomst till standardroller och anpassade privilegierade roller och möjliggör just-in-time-identitetsbaserad åtkomst till anpassade roller.

  • JIT VM-åtkomst är en Defender for Cloud-funktion som begränsar nätverksåtkomsten till virtuella datorer. I den här arkitekturen minimerar JIT attackytan genom att tillämpa neka-regler och endast tillåta tillfällig åtkomst vid begäran. När en användare begär åtkomst till den virtuella datorn lägger tjänsten till en tillfällig regel för att tillåta till nätverkssäkerhetsgruppen. Eftersom tillåt-regeln har högre prioritet än neka-regeln kan användaren ansluta till den virtuella datorn. Azure Bastion fungerar bäst för att ansluta till den virtuella datorn. Men användaren kan också använda en direkt RDP- eller SSH-session.

  • Azure RBAC är ett auktoriseringssystem för hantering av åtkomst till Azure-resurser. I den här arkitekturen framtvingar anpassade Azure RBAC-roller principen om minsta behörighet genom att endast bevilja nödvändiga behörigheter för åtkomst till virtuella datorer. Du kan använda dem för att tilldela behörigheter på nivåer som uppfyller organisationens behov. För att få åtkomst till en virtuell dator i den här lösningen får användaren behörighet för följande åtgärder:

    • Använda Azure Bastion
    • Begära JIT VM-åtkomst i Defender för molnet
    • Läsa eller lista virtuella datorer

  • Microsoft Entra Villkorlig åtkomst är ett principbaserat åtkomstkontrollverktyg. I den här arkitekturen säkerställer villkorsstyrd åtkomst att endast autentiserade användare från betrodda enheter eller platser kan komma åt Azure-resurser. Principer för villkorsstyrd åtkomst stöder säkerhetsmodellen Noll förtroende .

  • Azure Bastion är en hanterad tjänst som tillhandahåller RDP- och SSH-anslutning till virtuella datorer via HTTPS. I den här arkitekturen ansluter Azure Bastion användare som använder Microsoft Edge eller en annan webbläsare för HTTPS eller skyddad trafik på port 443. Azure Bastion konfigurerar RDP-anslutningen till den virtuella datorn. RDP- och SSH-portar exponeras inte för Internet eller användarens ursprung.

    Azure Bastion är valfritt i den här lösningen. Användare kan ansluta direkt till virtuella Azure-datorer med hjälp av RDP-protokollet. Om du konfigurerar Azure Bastion i ett virtuellt Azure-nätverk konfigurerar du ett separat undernät med namnet AzureBastionSubnet. Associera sedan en nätverkssäkerhetsgrupp med det undernätet. I den gruppen anger du en källa för HTTPS-trafik, till exempel användarens lokala CIDR-block (Inter-Domain Routing). Den här konfigurationen blockerar anslutningar som inte kommer från användarens lokala miljö.

  • Key Vault är en tjänst för lagring av hemligheter, nycklar och certifikat. I den här arkitekturen lagrar Key Vault virtuella datorlösenord som hemligheter och integreras med Azure Bastion för att tillåta hämtning av behöriga användare. Du kan konfigurera den hemliga RBAC:n så att endast det användarkonto som har åtkomst till den virtuella datorn kan hämta den. Hämtning av lösenordsvärdet från nyckelvalvet kan göras via Azure-API:er (till exempel med hjälp av Azure CLI) eller från Azure-portalen.

    Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg