Mehrschichtiger Schutz für den Zugriff auf virtuelle Azure-Computer

Diese Lösung bietet eine mehrschichtige Strategie für den Schutz virtueller Computer (VMs) in Azure. Sie gewährleistet die Barrierefreiheit und sorgt gleichzeitig dafür, dass die Angriffsfläche auf Verwaltungs- und Administrationsebene minimiert wird.

Diese Lösung umfasst gemäß der Sicherheitsempfehlung von Microsoft mehrere Schutzmechanismen, die von Microsoft Azure- und Entra-Diensten angeboten werden. Sie hält die Prinzipien „Sicherheit durch Design“, „Standardmäßig sicher“ und „Sichere Vorgänge“ ein.

• Sicherheit durch Design. Die Lösung ermöglicht einen nicht persistenten präzisen Zugriff auf virtuelle Computer, indem sie das Prinzip der geringsten Rechte und das Konzept der Aufgabentrennung implementiert. Dadurch wird sichergestellt, dass die Erlaubnis des Zugriffs auf die virtuellen Computer nur bei Vorliegen legitimer Gründe gewährt wird, was das Risiko eines nicht autorisierten Zugriffs reduziert.

• Standardmäßig sicher. Der eingehende Datenverkehr für virtuelle Computer ist gesperrt, sodass Konnektivität nur bei Bedarf zugelassen wird. Dieser standardmäßige Sicherheitsstatus minimiert die Gefährdung durch zahlreiche beliebte Cyberangriffe wie Brute-Force- und verteilte Denial-of-Service-Angriffe (DDoS).

• Sichere Vorgänge. Es ist wichtig, die kontinuierliche Überwachung zu implementieren und in die Verbesserung der Sicherheitskontrollen zu investieren, um aktuelle und zukünftige Bedrohungen abzuwehren. Verwenden Sie verschiedene Azure-Dienste und -Features wie Microsoft Entra Privileged Identity Management (PIM), das Just-In-Time-VM-Zugriffsfeature (JIT) von Microsoft Defender for Cloud, Azure Bastion, die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) und benutzerdefinierte Azure-Rollen. Optional sollten Sie den bedingten Zugriff von Microsoft Entra in Betracht ziehen, um den Zugriff auf Azure-Ressourcen und Azure Key Vault zum Speichern lokaler Kennwörter für virtuelle Computer zu steuern, wenn diese nicht in Entra ID oder Active Directory-Domänendiensten integriert sind.

Mögliche Anwendungsfälle

Defense in Depth, also die tiefgehende Verteidigung, ist die Prämisse dieser Architektur. Bei dieser Strategie müssen Benutzer mehrere Verteidigungslinien überwinden, bevor ihnen Zugriff auf VMs gewährt wird. Hiermit soll Folgendes sichergestellt werden:

• Jeder Benutzer wird überprüft.
• Jeder Benutzer hat legitime Absichten.
• Die Kommunikation ist sicher.
• Der Zugriff auf VMs in Azure wird nur bei Bedarf gewährt.

Die Defense-in-Depth-Strategie und die in diesem Artikel beschriebene Lösung gelten für viele Szenarien:

• Ein Administrator muss unter den folgenden Umständen auf einen virtuellen Azure-Computer zugreifen:

  • Der Administrator muss ein Problem behandeln, das Verhalten untersuchen oder ein kritisches Update anwenden.
  • Der Administrator verwendet Remotedesktopprotokoll (RDP) für den Zugriff auf eine Windows-VM bzw. Secure Shell (SSH) für den Zugriff auf eine Linux-VM.
  • Für den Zugriff sollten nur die geringstmöglichen Berechtigungen gewährt werden, die für die jeweilige Aufgabe erforderlich sind.
  • Der Zugriff sollte nur für einen begrenzten Zeitraum gültig sein.
  • Nach Ablauf der Zugriffsberechtigung sollte der VM-Zugriff vom System wieder blockiert werden, um Zugriffsversuche mit böswilliger Absicht zu verhindern.

• Mitarbeiter benötigen Zugriff auf eine Remotearbeitsstation, die in Azure als virtueller Computer gehostet wird. Die folgenden Bedingungen gelten:

  • Die Mitarbeiter sollten nur während der Geschäftszeiten auf den virtuellen Computer zugreifen.
  • Vom Sicherheitssystem sollten Anforderungen des Zugriffs auf den virtuellen Computer außerhalb der Geschäftszeiten als nicht erforderlich und böswillig angesehen werden.

• Benutzer möchten eine Verbindung mit Azure-VM-Workloads herstellen. Vom System sollten nur Verbindungen genehmigt werden, die von verwalteten und konformen Geräten stammen.

• In einem System ist eine hohe Anzahl von Brute-Force-Angriffen aufgetreten:

  • Diese Angriffe hatten Azure-VMs an den RDP- und SSH-Ports 3389 und 22 als Ziel.
  • Bei den Angriffen wurde versucht, die Anmeldeinformationen zu erraten.
  • Mit der Lösung sollte verhindert werden, dass Zugriffsports wie 3389 und 22 für das Internet oder lokale Umgebungen verfügbar gemacht werden.

Aufbau

Laden Sie eine Visio-Datei dieser Architektur herunter.

Datenfluss

1. Authentifizierungs- und Zugriffsentscheidungen: Für den Benutzer wird die Authentifizierung anhand von Microsoft Entra ID durchgeführt, um Zugriff auf das Azure-Portal, Azure-REST-APIs, Azure PowerShell oder die Azure CLI zu erhalten. Wenn die Authentifizierung erfolgreich ist, wird eine Microsoft Entra-Richtlinie für bedingten Zugriff wirksam. Mit dieser Richtlinie wird überprüft, ob der Benutzer bestimmte Kriterien erfüllt. Beispiele hierfür sind die Nutzung eines verwalteten Geräts oder die Anmeldung von einem bekannten Standort. Wenn der Benutzer die Kriterien erfüllt, erhält er über „Bedingter Zugriff“ die Möglichkeit, über das Azure-Portal oder eine andere Benutzeroberfläche auf Azure zuzugreifen.

2. Identitätsbasierter Just-In-Time-Zugriff: Während der Autorisierung wird den Benutzer*innen über Microsoft Entra PIM eine benutzerdefinierte Rolle vom Typ Berechtigt zugewiesen. Die Berechtigung ist auf erforderliche Ressourcen beschränkt, und es handelt sich um eine zeitgebundene Rolle, nicht um eine permanente Rolle. Innerhalb eines angegebenen Zeitraums fordert der Benutzer die Aktivierung dieser Rolle über die Azure AD PIM-Benutzeroberfläche an. Mit dieser Anforderung können auch andere Aktionen ausgelöst werden, z. B. das Starten eines Genehmigungsworkflows oder das Auffordern des Benutzers zur Durchführung der mehrstufigen Authentifizierung, um seine Identität nachzuweisen. Bei einem Genehmigungsworkflow muss die Anforderung von einer anderen Person genehmigt werden. Andernfalls wird dem Benutzer nicht die benutzerdefinierte Rolle zugewiesen, und er kann nicht mit dem nächsten Schritt fortfahren.

3. Netzwerkbasierter Just-In-Time-Zugriff: Nach der Authentifizierung und Autorisierung wird die benutzerdefinierte Rolle vorübergehend mit der Identität des Benutzers verknüpft. Der Benutzer fordert dann den JIT-VM-Zugriff an. Für diesen Zugriff wird eine Verbindung aus dem Azure Bastion-Subnetz an Port 3389 (RDP) bzw. Port 22 (SSH) geöffnet. Die Verbindung wird direkt mit der VM-Netzwerkschnittstellenkarte (NIC) oder dem VM-NIC-Subnetz hergestellt. Mithilfe dieser Verbindung wird von Azure Bastion eine interne RDP-Sitzung geöffnet. Die Sitzung ist auf das virtuelle Azure-Netzwerk beschränkt und wird nicht für das öffentliche Internet verfügbar gemacht.

4. Verbindungsherstellung mit der Azure-VM: Der Benutzer greift über ein temporäres Token auf Azure Bastion zu. Über diesen Dienst stellt der Benutzer eine indirekte RDP-Verbindung mit der Azure-VM her. Die Verbindung funktioniert nur für einen begrenzten Zeitraum. Der Benutzer kann das Kennwort aus einem Azure Key Vault abrufen, wenn das Kennwort als geheimer Schlüssel im Key Vault gespeichert wurde und ausreichende RBAC-Berechtigungen konfiguriert sind, um den Zugriff auf das entsprechende Benutzerkonto zu beschränken.

Komponenten

Diese Lösung verwendet die folgenden Komponenten:

• Azure Virtual Machines ist ein IaaS-Angebot (Infrastructure-as-a-Service). Sie können mit Virtual Machines skalierbare Computingressourcen bedarfsorientiert bereitstellen. In Produktionsumgebungen, in denen diese Lösung verwendet wird, stellen Sie Ihre Workloads auf Azure-VMs bereit. Beseitigen Sie anschließend unnötige Gefährdungen für Ihre VMs und Azure-Ressourcen.

• Microsoft Entra ID ist ein cloudbasierter Identitätsdienst, der den Zugriff auf Azure und andere Cloud-Apps steuert.

• PIM ist ein Microsoft Entra-Dienst, mit dem der Zugriff auf wichtige Ressourcen verwaltet, gesteuert und überwacht wird. Bei dieser Lösung bewirkt dieser Dienst Folgendes:

  • Schränkt den permanenten Administratorzugriff auf standardmäßige und benutzerdefinierte privilegierte Rollen ein.
  • Ermöglicht den identitätsbasierten Just-In-Time-Zugriff (JIT) auf benutzerdefinierte Rollen.

• JIT-VM-Zugriff ist ein Feature von Defender für Cloud, das den netzwerkbasierten Just-In-Time-Zugriff auf VMs ermöglicht. Mit diesem Feature wird der Azure-Netzwerksicherheitsgruppe, die für den Schutz der VM-Netzwerkschnittstelle bzw. des Subnetzes mit der VM-Netzwerkschnittstelle sorgt, eine Ablehnungsregel hinzugefügt. Durch diese Regel wird die Angriffsfläche des virtuellen Computers verkleinert, indem die unnötige Kommunikation mit dem virtuellen Computer blockiert wird. Wenn ein Benutzer Zugriff auf den virtuellen Computer anfordert, fügt der Dienst der Netzwerksicherheitsgruppe eine Zulassungsregel für den vorübergehenden Zugriff hinzu. Da die Zulassungsregel eine höhere Priorität als die Ablehnungsregel hat, kann der Benutzer eine Verbindung mit dem virtuellen Computer herstellen. Für die Verbindungsherstellung mit dem virtuellen Computer ist Azure Bastion am besten geeignet. Der Benutzer kann aber auch eine direkte RDP- oder SSH-Sitzung verwenden.

• Die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) ist ein Autorisierungssystem, mit dem eine präzise Verwaltung des Zugriffs für Azure-Ressourcen ermöglicht wird.

• Mit benutzerdefinierten Azure RBAC-Rollen können integrierte Azure RBAC-Rollen erweitert werden. Sie können diese Rollen nutzen, um Berechtigungen auf den Ebenen zuzuweisen, die den Anforderungen Ihrer Organisation entsprechen. Für diese Rollen wird PoLP unterstützt. Hierbei werden jeweils nur die Berechtigungen gewährt, die ein Benutzer für einen bestimmten Zweck benötigt. Für den Zugriff auf einen virtuellen Computer werden dem Benutzer bei dieser Lösung folgende Berechtigungen gewährt:

  • Verwenden von Azure Bastion
  • Anfordern von JIT-VM-Zugriff in Defender für Cloud
  • Lesen oder Auflisten von VMs

• Der bedingte Zugriff von Microsoft Entra ist ein Tool, mit dem Microsoft Entra ID den Zugriff auf Ressourcen steuert. Für Richtlinien für bedingten Zugriff wird das Zero Trust-Sicherheitsmodell unterstützt. Bei dieser Lösung wird mit den Richtlinien sichergestellt, dass nur authentifizierte Benutzer Zugriff auf Azure-Ressourcen erhalten.

• Azure Bastion ermöglicht sichere und nahtlose RDP- und SSH-Konnektivität mit VMs in einem Netzwerk. Bei dieser Lösung werden mit Azure Bastion Verbindungen für Benutzer hergestellt, die Microsoft Edge oder einen anderen Internetbrowser für HTTPS oder geschützten Datenverkehr an Port 443 verwenden. Mit Azure Bastion wird die RDP-Verbindung mit dem virtuellen Computer eingerichtet. RDP- und SSH-Ports werden nicht für das Internet oder den Ursprungsort des Benutzers verfügbar gemacht.

  Azure Bastion ist bei dieser Lösung optional. Über das RDP-Protokoll können Benutzer eine direkte Verbindung mit Azure-VMs herstellen. Wenn Sie Azure Bastion in einem virtuellen Azure-Netzwerk konfigurieren, richten Sie ein separates Subnetz mit dem Namen AzureBastionSubnet ein. Anschließend ordnen Sie diesem Subnetz eine Netzwerksicherheitsgruppe zu. Geben Sie in dieser Gruppe eine Quelle für HTTPS-Datenverkehr an, z. B. den lokalen IP-CIDR-Block (Classless Inter-Domain Routing) des Benutzers. Mit dieser Konfiguration blockieren Sie Verbindungen, die nicht aus der lokalen Umgebung des Benutzers stammen.

• Azure Key Vault bietet einen sicheren Mechanismus zum Speichern des Kennworts des virtuellen Computers als Secret. Der geheime RBAC kann so konfiguriert werden, dass nur Benutzerkonto, das auf die VM zugreift, über die Berechtigung zum Abrufen verfügt. Das Abrufen des Kennwortwerts aus dem Key Vault kann über Azure-APIs (z. B. die Verwendung von Azure CLI) oder aus dem Azure-Portal erfolgen, da Azure Key Vault in die Azure Bastion-Benutzeroberfläche integriert ist (im Azure-Portal unter dem Blatt des virtuellen Computers).

  Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

• Husam Hilal | Senior Cloud Solution Architect

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte

• Aktivieren meiner Azure-Ressourcenrollen in Privileged Identity Management
• Grundlegendes zum Just-In-Time(JIT)-VM-Zugriff
• Konfigurieren von Bastion und Herstellen einer Verbindung mit einer Windows-VM über einen Browser
• Schützen von Benutzeranmeldeereignissen mit der Multi-Faktor-Authentifizierung in Microsoft Entra

Zugehörige Ressourcen

• Hybride Sicherheitsüberwachung mithilfe von Microsoft Defender für Cloud und Azure Sentinel
• Sicherheitsüberlegungen zu höchst sensiblen IaaS-Apps in Azure
• Microsoft Entra IDaaS in Sicherheitsvorgängen