Protection multicouche pour l’accès aux machines virtuelles Azure

Cette solution offre une stratégie multicouche pour protéger les machines virtuelles (VM) dans Azure, en garantissant l’accessibilité tout en minimisant la surface d’attaque à des fins de gestion et d’administration.

Alignée sur la recommandation de sécurité de Microsoft, cette solution intègre plusieurs mécanismes de protection offerts par les services Microsoft Azure et Entra, respectant les principes de sécurité par conception, sécurité par défaut et opérations sécurisées.

• Sécurité par conception. La solution permet d’obtenir un accès granulaire non persistant aux machines virtuelles en appliquant le principe du moindre privilège et le concept de séparation des tâches. Cela garantit que l’autorisation aux machines virtuelles est accordée uniquement pour des raisons légitimes, ce qui réduit le risque d’accès non autorisé.

• Sécurité par défaut. Le trafic entrant vers des machines virtuelles est verrouillé, la connectivité est donc autorisée uniquement si nécessaire. Cette posture de sécurité par défaut réduit l’exposition à de nombreuses cyber-attaques populaires telles que les attaques par déni de service distribué (DDoS) et par force brute.

• Opérations sécurisées. Une surveillance continue et un investissement dans l’amélioration des contrôles de sécurité sont indispensables pour faire face aux menaces actuelles et futures. Utilisez différents services et fonctionnalités Azure tels que Microsoft Entra Privileged Identity Management (PIM), la fonctionnalité d’accès juste-à-temps (JIT) aux machines virtuelles de Microsoft Defender pour le cloud, Azure Bastion, les rôles personnalisés du contrôle d’accès en fonction du rôle Azure (Azure RBAC). Vous devriez également envisager d’utiliser l’accès conditionnel Microsoft Entra pour réglementer l’accès aux ressources Azure et Azure Key Vault pour le stockage des mots de passe locaux des machines virtuelles s’il n’est pas intégré à Entra ID ou aux services de domaine Active Directory.

Cas d’usage potentiels

Cette architecture repose sur le principe de la défense en profondeur. Cette stratégie soumet les utilisateurs à plusieurs lignes de défense avant de leur accorder l’accès aux machines virtuelles. L’objectif est de s’assurer que :

• Chaque utilisateur est vérifié.
• Chaque utilisateur a des intentions légitimes.
• La communication est sécurisée.
• L’accès aux machines virtuelles dans Azure est accordé uniquement lorsque cela est nécessaire.

La stratégie de défense en profondeur et la solution présentée dans cet article s’appliquent à de nombreux scénarios :

• Un administrateur doit accéder à une machine virtuelle Azure dans les circonstances suivantes :

  • L’administrateur doit résoudre un problème, examiner un comportement ou appliquer une mise à jour critique.
  • L’administrateur utilise le protocole RDP pour accéder à une machine virtuelle Windows ou le protocole SSH pour accéder à une machine virtuelle Linux.
  • L’accès doit inclure le nombre minimum d’autorisations nécessaires pour effectuer la tâche.
  • L’accès doit être valide uniquement pendant une durée limitée.
  • Après l’expiration de l’accès, le système doit verrouiller l’accès à la machine virtuelle pour empêcher toute tentative d’accès malveillant.

• Les employés ont besoin d’accéder à une station de travail distante qui est hébergée dans Azure en tant que machine virtuelle. Les conditions suivantes s’appliquent :

  • Les employés doivent accéder à la machine virtuelle uniquement pendant les heures de travail.
  • Le système de sécurité doit considérer les demandes d’accès à la machine virtuelle en dehors des heures de travail comme inutiles et malveillantes.

• Les utilisateurs souhaitent se connecter aux charges de travail de la machine virtuelle Azure. Le système doit approuver les connexions qui proviennent uniquement d’appareils gérés et conformes.

• Un système a subi un nombre considérable d’attaques par force brute :

  • Ces attaques ont visé des machines virtuelles Azure sur les ports RDP et SSH 3389 et 22.
  • Les attaques ont tenté de deviner les informations d’identification.
  • La solution doit empêcher l’exposition des ports d’accès tels que les ports 3389 et 22 à Internet ou à des environnements locaux.

Architecture

Téléchargez un fichier Visio de cette architecture.

Dataflow

1. Décisions d’authentification et d’accès : L’utilisateur est authentifié contre Microsoft Entra ID pour accéder au portail Azure, aux API REST Azure, à Azure PowerShell ou à l’interface de ligne de commande Azure CLI. Si l’authentification réussit, une stratégie d’accès conditionnel Microsoft Entra prend effet. Cette stratégie vérifie si l’utilisateur répond à certains critères. Il peut s’agir, par exemple, de l’utilisation d’un appareil géré ou d’une connexion à partir d’une localisation connue. Si l’utilisateur remplit les critères, l’accès conditionnel lui accorde l’accès à Azure via le portail Azure ou une autre interface.

2. Accès juste-à-temps basé sur l’identité : pendant l’autorisation, Microsoft Entra PIM attribue à l’utilisateur un rôle personnalisé de type admissible. Cette admissibilité est limitée aux ressources requises et constitue un rôle limité dans le temps, et non un rôle permanent. Dans un laps de temps spécifié, l’utilisateur demande l’activation de ce rôle par le biais de l’interface Azure PIM. Cette demande peut déclencher d’autres actions, telles que le démarrage d’un flux de travail d’approbation ou la demande à l’utilisateur de l’authentification multifacteur pour vérifier son identité. Dans un flux de travail d’approbation, une autre personne doit approuver la demande. Sinon, l’utilisateur ne se voit pas attribuer le rôle personnalisé et ne peut pas passer à l’étape suivante.

3. Accès juste-à-temps basé sur le réseau : Après authentification et autorisation, le rôle personnalisé est temporairement lié à l’identité de l’utilisateur. L’utilisateur demande ensuite un accès JAT à la machine virtuelle. Cet accès ouvre une connexion depuis le sous-réseau Azure Bastion sur le port 3389 pour RDP ou le port 22 pour SSH. La connexion s’exécute directement sur la carte réseau de la machine virtuelle ou sur le sous-réseau de la carte réseau de la machine virtuelle. À l’aide de cette connexion, Azure Bastion ouvre une session RDP interne. La session est limitée au réseau virtuel Azure et n’est pas exposée à l’Internet public.

4. Connexion à la machine virtuelle Azure : à l’aide d’un jeton temporaire, l’utilisateur accède à Azure Bastion. Grâce à ce service, l’utilisateur établit une connexion RDP indirecte à la machine virtuelle Azure. La connexion ne fonctionne que pendant un laps de temps limité. L’utilisateur peut récupérer le mot de passe depuis un Azure Key Vault, si le mot de passe a été stocké en tant que secret dans le Key Vault, et que des permissions RBAC suffisantes sont configurées pour limiter l’accès au compte utilisateur approprié.

Composants

Cette solution utilise les composants suivants :

• Machines virtuelles Microsoft Azure est une offre IaaS (infrastructure as a service). Vous pouvez utiliser des machines virtuelles pour déployer des ressources de calcul à la demande et évolutives. Dans les environnements de production qui utilisent cette solution, déployez vos charges de travail sur des machines virtuelles Azure. Éliminez ensuite toute exposition inutile à vos machines virtuelles et aux ressources Azure.

• Microsoft Entra ID est un service d’identité basé sur le cloud qui contrôle l’accès à Azure et à d’autres applications cloud.

• PIM est un service Microsoft Entra qui gère, contrôle et surveille l’accès aux ressources importantes. Dans cette solution, ce service :

  • Limite l’accès de l’administrateur permanent aux rôles privilégiés standard et personnalisés.
  • Fournit aux rôles personnalisés un accès juste-à-temps et basé sur l’identité.

• L’accès JAT aux machines virtuelles est une fonctionnalité de Defender pour le cloud qui fournit un accès juste-à-temps basé sur le réseau aux machines virtuelles. Cette fonctionnalité ajoute une règle de refus au groupe de sécurité réseau Azure qui protège l’interface réseau de la machine virtuelle ou le sous-réseau qui contient l’interface réseau de la machine virtuelle. Cette règle réduit la surface d’attaque de la machine virtuelle en bloquant les communications inutiles vers la machine virtuelle. Lorsqu’un utilisateur demande l’accès à la machine virtuelle, le service ajoute une règle d’autorisation temporaire au groupe de sécurité réseau. La règle d’autorisation ayant une priorité plus élevée que la règle de refus, l’utilisateur peut se connecter à la machine virtuelle. Azure Bastion fonctionne le mieux pour se connecter à la machine virtuelle. Toutefois, l’utilisateur peut également utiliser une session RDP ou SSH directe.

• RBAC Azure est un système d’autorisation qui permet une gestion précise des accès aux ressources Azure.

• Les rôles personnalisés RBAC Azure permettent d’étendre les rôles intégrés de RBAC Azure. Vous pouvez les utiliser pour affecter des autorisations à des niveaux qui répondent aux besoins de votre organisation. Ces rôles prennent en charge le principe du moindre privilège (PoLP). Ils accordent uniquement les autorisations dont un utilisateur a besoin pour son objectif. Pour accéder à une machine virtuelle dans cette solution, l’utilisateur obtient des autorisations pour :

  • Utiliser Azure Bastion.
  • Demander un accès juste-à-temps à une machine virtuelle dans Defender pour le cloud.
  • Lire ou répertorier des machines virtuelles.

• L’accès conditionnel Microsoft Entra est un outil que Microsoft Entra ID utilise pour contrôler l’accès aux ressources. Les stratégies d’accès conditionnel prennent en charge le modèle de sécurité Confiance Zéro. Dans cette solution, les stratégies garantissent que seuls les utilisateurs authentifiés obtiennent l’accès aux ressources Azure.

• Azure Bastion offre une connectivité RDP et SSH sécurisée et transparente aux machines virtuelles d’un réseau. Dans cette solution, Azure Bastion connecte les utilisateurs qui utilisent Microsoft Edge ou un autre navigateur Internet pour le protocole HTTPS ou le trafic sécurisé sur le port 443. Azure Bastion configure la connexion RDP à la machine virtuelle. Les ports RDP et SSH ne sont pas exposés à Internet ni à l’origin de l’utilisateur.

  Azure Bastion est facultatif dans cette solution. En utilisant le protocole RDP, les utilisateurs peuvent se connecter directement aux machines virtuelles Azure. Si vous configurez Azure Bastion dans un réseau virtuel Azure, configurez un sous-réseau distinct appelé AzureBastionSubnet. Associez ensuite un groupe de sécurité réseau à ce sous-réseau. Dans ce groupe, spécifiez une source pour le trafic HTTPS, par exemple le bloc de routage CIDR (Classless InterDomain Routing) de l’adresse IP locale de l’utilisateur. Grâce à cette configuration, vous bloquez les connexions qui ne proviennent pas de l’environnement local de l’utilisateur.

• Azure Key Vault fournit un mécanisme sécurisé pour stocker le mot de passe de l’utilisateur de la VM en tant que secret. Le RBAC du secret peut être configuré de sorte que seul le compte utilisateur qui accède à la machine virtuelle ait la permission de le récupérer. La récupération de la valeur du mot de passe depuis le key vault peut se faire via les API Azure (comme en utilisant Azure CLI) ou depuis le portail Azure, car Azure Key Vault s’intègre à l’interface utilisateur Azure Bastion au niveau du volet de la machine virtuelle dans le portail Azure.

  Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

• Husam Hilal | Architecte senior de solutions cloud

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

• Activer mes rôles de ressources Azure dans Privileged Identity Management
• Fonctionnement de l’accès aux machines virtuelles juste-à-temps (JAT)
• Configurer Bastion et se connecter à une machine virtuelle Windows à partir d’un navigateur
• Sécuriser les évènements de connexion des utilisateurs avec l’authentification multifacteur Microsoft Entra

Ressources associées

• Supervision de la sécurité hybride à l’aide de Microsoft Defender pour le cloud et de Microsoft Sentinel
• Considérations de sécurité pour les applications IaaS hautement sensibles dans Azure
• Microsoft Entra IDaaS dans les opérations de sécurité