Nápady na řešení
Tento článek popisuje myšlenku řešení. Váš cloudový architekt může pomocí těchto pokynů vizualizovat hlavní komponenty pro typickou implementaci této architektury. Tento článek slouží jako výchozí bod k návrhu dobře navrženého řešení, které odpovídá konkrétním požadavkům vaší úlohy.
Toto řešení nabízí vícevrstou strategii pro ochranu virtuálních počítačů v Azure a zajišťuje přístupnost a současně minimalizuje prostor pro útoky pro účely správy a správy.
V souladu s doporučením Microsoftu k zabezpečení zahrnuje toto řešení několik mechanismů ochrany nabízených službami Microsoft Azure a Entra, které se řídí principy zabezpečení návrhem, zabezpečením ve výchozím nastavení a zabezpečenými operacemi.
Zabezpečení návrhem Řešení dosahuje nestandardního podrobného přístupu k virtuálním počítačům implementací principu nejnižších oprávnění a konceptu oddělení povinností. Tím se zajistí, že se autorizaci k virtuálním počítačům udělí jenom z legitimních důvodů, což snižuje riziko neoprávněného přístupu.
Ve výchozím nastavení zabezpečení. Příchozí provoz do virtuálních počítačů je uzamčený a umožňuje připojení jenom v případě potřeby. Tento výchozí stav zabezpečení minimalizuje vystavení mnoha oblíbeným kybernetickým útokům, jako jsou útoky hrubou silou a distribuovaným útokům DDoS (Denial of Service).
Zabezpečené operace. Je důležité implementovat průběžné monitorování a investovat do vylepšování bezpečnostních prvků, aby splňovaly aktuální a budoucí hrozby. Používejte různé služby a funkce Azure, jako je Microsoft Entra Privileged Identity Management (PIM), funkce přístupu k virtuálním počítačům za běhu (JIT) v programu Microsoft Defender for Cloud, Azure Bastion, vlastní role na základě role (Azure RBAC). Volitelně byste měli zvážit podmíněný přístup Microsoft Entra k regulaci přístupu k prostředkům Azure a službě Azure Key Vault pro ukládání místních hesel virtuálních počítačů, pokud nejsou integrovaná s ID entra nebo službou Active Direcory Domain Services.
Potenciální případy použití
Hloubková ochrana je místně za touto architekturou. Tato strategie před udělením přístupu uživatelům k virtuálním počítačům čelí několika liniemi obrany. Cílem je zajistit, aby:
- Každý uživatel je ověřený.
- Každý uživatel má legitimní záměry.
- Komunikace je zabezpečená.
- Přístup k virtuálním počítačům v Azure se poskytuje jenom v případě potřeby.
Strategie hloubkové ochrany a řešení v tomto článku platí pro mnoho scénářů:
Za těchto okolností musí správce získat přístup k virtuálnímu počítači Azure:
- Správce musí vyřešit problém, prozkoumat chování nebo použít kritickou aktualizaci.
- Správce používá protokol RDP (Remote Desktop Protocol) pro přístup k virtuálnímu počítači s Windows nebo zabezpečenému prostředí (SSH) pro přístup k virtuálnímu počítači s Linuxem.
- Přístup by měl obsahovat minimální počet oprávnění potřebných k provedení úlohy.
- Přístup by měl být platný pouze po omezenou dobu.
- Po vypršení platnosti přístupu by měl systém uzamknout přístup k virtuálnímu počítači, aby se zabránilo pokusům o škodlivý přístup.
Zaměstnanci potřebují přístup ke vzdálené pracovní stanici hostované v Azure jako virtuální počítač. Platí následující podmínky:
- Zaměstnanci by měli k virtuálnímu počítači přistupovat jenom během pracovní doby.
- Systém zabezpečení by měl zvážit požadavky na přístup k virtuálnímu počítači mimo pracovní dobu, které nejsou zbytečné a škodlivé.
Uživatelé se chtějí připojit k úlohám virtuálních počítačů Azure. Systém by měl schvalovat připojení, která jsou jenom ze spravovaných a vyhovujících zařízení.
Systém zaznamenal obrovský počet útoků hrubou silou:
- Tyto útoky cílí na virtuální počítače Azure na porty RDP a SSH 3389 a 22.
- Útoky se pokusily uhodnout přihlašovací údaje.
- Řešení by mělo zabránit zpřístupnění přístupových portů, jako je například 3389 a 22, v internetovém nebo místním prostředí.
Architektura
Stáhněte si soubor aplikace Visio s touto architekturou.
Tok dat
Rozhodnutí o ověřování a přístupu: Uživatel se ověřuje na základě ID Microsoft Entra pro přístup k webu Azure Portal, rozhraním Azure REST API, Azure PowerShellem nebo Azure CLI. Pokud ověřování proběhne úspěšně, projeví se zásady podmíněného přístupu Microsoft Entra. Tato zásada ověřuje, jestli uživatel splňuje určitá kritéria. Mezi příklady patří použití spravovaného zařízení nebo přihlášení ze známého umístění. Pokud uživatel splňuje kritéria, podmíněný přístup udělí uživateli přístup k Azure prostřednictvím webu Azure Portal nebo jiného rozhraní.
Přístup za běhu založený na identitě: Během autorizace přiřadí Microsoft Entra PIM uživateli vlastní roli typu. Oprávněnost je omezená na požadované zdroje a jedná se o časově omezenou roli, nikoli trvalouroli. V zadaném časovém rámci uživatel požádá o aktivaci této role prostřednictvím rozhraní Azure PIM. Tento požadavek může aktivovat další akce, jako je spuštění pracovního postupu schválení nebo výzva uživatele k vícefaktorovém ověřování k ověření identity. V pracovním postupu schválení musí žádost schválit jiná osoba. Jinak uživatel nemá přiřazenou vlastní roli a nemůže pokračovat k dalšímu kroku.
Přístup za běhu založený na síti: Po ověření a autorizaci se vlastní role dočasně propojila s identitou uživatele. Uživatel pak požádá o přístup k virtuálnímu počítači JIT. Tento přístup otevře připojení z podsítě Azure Bastion na portu 3389 pro protokol RDP nebo port 22 pro SSH. Připojení se spustí přímo k síťové kartě virtuálního počítače (NIC) nebo podsíti síťové karty virtuálního počítače. Azure Bastion otevře interní relaci protokolu RDP pomocí daného připojení. Relace je omezená na virtuální síť Azure a není přístupná k veřejnému internetu.
Připojení k virtuálnímu počítači Azure: Uživatel přistupuje ke službě Azure Bastion pomocí dočasného tokenu. Prostřednictvím této služby uživatel vytvoří nepřímé připojení RDP k virtuálnímu počítači Azure. Připojení funguje jenom po omezenou dobu. Uživatel může heslo načíst ze služby Azure Key Vault, pokud bylo heslo uloženo jako tajný klíč ve službě Key Vault a dostatečná oprávnění RBAC jsou nakonfigurovaná tak, aby omezila přístup k příslušnému uživatelskému účtu.
Komponenty
Toto řešení používá následující komponenty:
Azure Virtual Machines je nabídka typu infrastruktura jako služba (IaaS). Virtuální počítače můžete použít k nasazení škálovatelných výpočetních prostředků na vyžádání. V produkčních prostředích, která toto řešení používají, nasaďte úlohy na virtuální počítače Azure. Pak eliminujte zbytečné vystavení virtuálním počítačům a prostředkům Azure.
Microsoft Entra ID je cloudová služba identit, která řídí přístup k Azure a dalším cloudovým aplikacím.
PIM je služba Microsoft Entra, která spravuje, řídí a monitoruje přístup k důležitým prostředkům. V tomto řešení tato služba:
- Omezuje trvalý přístup správce ke standardním a vlastním privilegovaným rolím.
- Poskytuje přístup založený na identitě za běhu k vlastním rolím.
Přístup k virtuálním počítačům PODLE POTŘEBY je funkce Defenderu pro cloud, která poskytuje přístup k virtuálním počítačům podle potřeby. Tato funkce přidá pravidlo zamítnutí do skupiny zabezpečení sítě Azure, která chrání síťové rozhraní virtuálního počítače nebo podsíť obsahující síťové rozhraní virtuálního počítače. Toto pravidlo minimalizuje prostor pro útoky na virtuální počítač tím, že blokuje zbytečnou komunikaci s virtuálním počítačem. Když uživatel požádá o přístup k virtuálnímu počítači, přidá služba do skupiny zabezpečení sítě dočasné pravidlo povolení. Vzhledem k tomu, že pravidlo povolení má vyšší prioritu než pravidlo zamítnutí, může se uživatel připojit k virtuálnímu počítači. Azure Bastion je nejvhodnější pro připojení k virtuálnímu počítači. Uživatel ale může také použít přímou relaci RDP nebo SSH.
Azure RBAC je autorizační systém, který poskytuje jemně odstupňovanou správu přístupu k prostředkům Azure.
Vlastní role Azure RBAC poskytují způsob, jak rozšířit předdefinované role Azure RBAC. Můžete je použít k přiřazení oprávnění na úrovních, které vyhovují potřebám vaší organizace. Tyto role podporují poLP. Udělí jenom oprávnění, která uživatel potřebuje pro účel uživatele. Pro přístup k virtuálnímu počítači v tomto řešení získá uživatel oprávnění pro:
- Použití služby Azure Bastion
- Žádost o přístup k virtuálnímu počítači JIT v Defenderu pro cloud
- Čtení nebo výpis virtuálních počítačů
Podmíněný přístup společnosti Microsoft Entra je nástroj, který id Microsoft Entra používá k řízení přístupu k prostředkům. Zásady podmíněného přístupu podporují model zabezpečení nulové důvěryhodnosti . V tomto řešení zásady zajišťují, že přístup k prostředkům Azure získají jenom ověření uživatelé.
Azure Bastion poskytuje zabezpečené a bezproblémové připojení RDP a SSH k virtuálním počítačům v síti. V tomto řešení Azure Bastion připojí uživatele, kteří používají Microsoft Edge nebo jiný internetový prohlížeč pro HTTPS nebo zabezpečený provoz na portu 443. Azure Bastion nastaví připojení RDP k virtuálnímu počítači. Porty RDP a SSH nejsou vystavené internetu ani původu uživatele.
Azure Bastion je v tomto řešení volitelný. Uživatelé se můžou připojit přímo k virtuálním počítačům Azure pomocí protokolu RDP. Pokud nakonfigurujete Službu Azure Bastion ve virtuální síti Azure, nastavte samostatnou podsíť s názvem
AzureBastionSubnet
. Pak k této podsíti přidružte skupinu zabezpečení sítě. V této skupině zadejte zdroj pro provoz HTTPS, jako je například blok CIDR (Inter-Domain Routing) bez třídy IP uživatele. Pomocí této konfigurace zablokujete připojení, která nepocházejí z místního prostředí uživatele.Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání hesla uživatele virtuálního počítače jako tajného kódu. Tajný RBAC je možné nakonfigurovat, takže k jeho načtení má oprávnění jenom uživatelský účet, který k virtuálnímu počítači přistupuje. Načtení hodnoty hesla z trezoru klíčů je možné provést prostřednictvím rozhraní Azure API (například pomocí Azure CLI) nebo z webu Azure Portal, protože Azure Key Vault se integruje s uživatelským rozhraním služby Azure Bastion v okně virtuálního počítače na webu Azure Portal.
Přispěvatelé
Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.
Hlavní autor:
- Husam Hilal | Vedoucí architekt cloudových řešení
Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.
Další kroky
- Aktivace rolí prostředků Azure ve službě Privileged Identity Management
- Principy přístupu k virtuálním počítačům za běhu (JIT)
- Konfigurace Bastionu a připojení k virtuálnímu počítači s Windows přes prohlížeč
- Zabezpečení událostí přihlašování uživatelů pomocí vícefaktorového ověřování Microsoft Entra