خادم Microsoft Cloud: استخدم Azure Bastion (آلة الحصن) بدون IP للشبكة العامة ، بدون منفذ RDP/SSH لتسجيل الدخول الآمن إلى الجهاز الظاهري
في التشغيل اليومي والصيانة للسحابة العامة للمؤسسات ، هناك منطقة آمنة بشدة تسمى "ملابس الإمبراطور الجديدة":
الأجهزة الافتراضية تسجيل الدخول عن بعد.
غالبًا ما يقوم العديد من الأصدقاء الذين قاموا للتو بنقل أعمالهم إلى Microsoft Cloud (Azure) ، من أجل توفير المتاعب ، بتعليق عنوان IP للشبكة العامة مباشرة على الجهاز الظاهري ، ثم إعطاء الضوء الأخضر في مجموعة أمان الشبكة (NSG) لوضع Windows
RDP (منفذ 3389)
أو لينكس
SSH(22 منفذ)
التعرض المباشر للعالم كله.
في نظر المتسللين ونصوص المسح الآلي ، فإن هذا النهج هو بمثابة الركض عارياً على الشبكة العامة. تحتاج فقط إلى تسجيل الدخول إلى خلفية جهاز Linux الظاهري وإلقاء نظرة على السجل ، وستجد أن هناك عناوين IP غير معروفة من جميع أنحاء العالم كل دقيقة وكل ثانية ، وتستخدم الآلاف من مجموعات القواميس لكسر كلمة مرور الجذر بعنف. طالما أن أحد الموظفين في الفريق لديه كلمة مرور ضعيفة ، فإن سقوط الخادم بأكمله وحتى الشبكة الداخلية السحابية للشركة بأكملها هي مسألة وقت فقط.
تتمثل طريقة الأمان التقليدية في إنشاء VPN ، أو استخدام جهاز ظاهري افتراضي لقضم التكوين وإنشاء آلة انطلاق مفتوحة المصدر (آلة الحصن). لكن آلة الحصن التي صنعتها بنفسك تحتاج أيضًا إلى عنوان IP للشبكة العامة. لا يتعين عليك فقط تصحيحها لنظام التشغيل كل يوم ، ولكن أيضًا القلق بشأن ما إذا كانت ستصبح "نقطة اختراق واحدة" في عيون المتسللين.
في بيئة الأمان السحابية الأصلية لمايكروسوفت ، هناك سلاح قطرة مصمم لإنهاء "قلق التعرض للشبكة العامة" تمامًا ، يسمى
Azure Bastion (آلة الحصن)
.
منطقها الأساسي متعجرف للغاية ونقي:
دع جهازك الافتراضي يودع IP العام تمامًا ، أو حتى يختم جميع المنافذ 22 و 3389 على خط الدفاع السحابي (NSG). يحتاج الموظفون فقط إلى فتح المتصفح لتسجيل الدخول إلى الشبكة الداخلية دون أي أسرار أو دفاع عالي أو حرير في صفحة الويب.
اليوم ، نرفض أي وعظ مفهوم رسمي ، ونقطع مباشرة من القتال الفعلي للنواة الصلبة ، وسوف يأخذك المقبض إلى معيار على مستوى المصنع الكبير لتكوين قناة آلة قلعة آمنة على مستوى AVD في غضون 10 دقائق.
المرحلة الأولى: التفكيك العميق ، "نموذج عالم عباءة غير مرئية" من Azure Bastion
قبل الذهاب إلى وحدة التحكم والنقر بالماوس ، يجب عليك إنشاء نموذج تشغيل مادي في الجزء السفلي من Azure Bastion في عقلك. لماذا يمكن أن يكون "بدون عنوان IP للشبكة العامة ، بدون تعرض منفذ" ؟
يتكون رابط الاتصالات الآمنة بالكامل من ثلاثة مواقع متشابكة:
[متصفح المستخدم]-(منفذ HTTPS/443)-> [Azure Bastion (PaaS)] -(إنترانت RDP/SSH )-> [آلة افتراضية داخلية خالصة (بدون عنوان IP العام)]
خط دفاع أمامي متوافق تمامًا (HTTPS / 443):Bastion هي خدمة PaaS مستضافة بالكامل. لا يحتاج الموظفون إلى تثبيت أي عميل RDP (اتصال سطح المكتب البعيد) أو Putty/Xshe على الكمبيوتر المحلي عند تسجيل الدخول
L وأدوات أخرى. تحتاج فقط إلى تسجيل الدخول إلى بوابة Azure والنقر على الاتصال. سيتم تغليف جميع الشاشات البعيدة وتعليمات التشغيل في حركة مرور HTTPS القياسية (منفذ 443) وتقديمها مباشرة في علامة تبويب المتصفح. لن يقوم أي جدار حماية صارم على إنترانت المؤسسة بحظر حركة مرور 443 صفحة ويب.
موقع مخصص معزول تمامًا (AzureBastionSubnet): لن يتم ضغط Bastion في نفس الشبكة الفرعية مثل الجهاز الظاهري للأعمال. يتطلب ذلك وجود شبكة فرعية مستقلة مستقلة وحصرية وملحومة في شبكتك الافتراضية (VNet) ولا يُسمح لأي شخص بالبقاء فيها. يجلس باستيون في هذا المنصب ويلعب دور أقوى حارس بوابة.
Private IP Link (Private IP Link): عندما يتحقق العم من أن هوية حساب Azure الخاص بك قانونية ، فإنه سيضرب باب جهازك الافتراضي من خلال الشبكة الأساسية داخل Microsoft Cloud IP الخاص بالشبكة الداخلية. لذلك ، يمكن للجهاز الظاهري الخاص بك قطع جميع الاتصالات المادية تمامًا مع الشبكة الخارجية. 0 IP العام و 0 منفذ خارجي مفتوح ومستقر مثل جبل تاي.
المرحلة الثانية: التدريبات القتالية الفعلية-10 دقائق من المباني الشاهقة على الأرض ، لحام ممر آمن
تأكد من أن لديك بالفعل شبكة افتراضية (VNet) على Azure ، وأن هناك جهازًا ظاهريًا يعمل بنظام Linux أو Windows لا يحتوي على عنوان IP للشبكة العامة على الإطلاق. بعد ذلك ، نفتح المعركة.
الدخول
بوابة Azure (البوابة)
، ابحث وادخل
”Bastions“
الصفحة.
الخطوة 1: فتح منطقة حظر طيران حصرية لـ Bastion (تقسيم الشبكة الفرعية)
قبل إنشاء Bastion ، يجب أن نذهب أولاً إلى الشبكة الافتراضية لقطع مكتبه المستقل لـ Kanmen ، وإلا فإن الإنشاء اللاحق سيفشل مباشرة.
انتقل إلى صفحة الشبكة الافتراضية (VNet) وانقر على "Subnets" (الشبكة الفرعية) في القائمة الموجودة على اليسار.
انقر على "Subnet" في الجزء العلوي.
خطوة لحقن الروح: يجب ملء اسم الشبكة الفرعية بالقوة والكلمة على النحو التالي: AzureBastionSubnet. هذا هو الرمز السري الوحيد الذي يتعرف عليه البرنامج النصي الآلي الأساسي لـ Microsoft ، ولا يمكن استخدام الحرف الخطأ.
نطاق العنوان: قم بتقسيم مقطع شبكة صغير/26 أو/27 (على سبيل المثال ، 10.0.1.0/26) ، انقر فوق حفظ.
الخطوة 2: إنشاء خدمة استضافة Bastion
العودة إلى صفحة Bastions ، انقر على الجزء العلوي
”Create“
:
التكوين الأساسي: اختر مجموعة الموارد الخاصة بك ، واسمي آلة الحصن bst-core-prod ، والاختيار الجغرافي هو نفس المنطقة تمامًا مثل جهازك الافتراضي (مثل East Asia Hong Kong).
Tier (المستوى): اختيار Devel لاختبار التطوير
Oper "(الأكثر توفيراً للمال ، مستضافة بالكامل) ؛ يوصي الإنتاج التجاري باختيار" Basic "أو" Standard "(يدعم القياس الديناميكي ونقل الملفات).
الشبكة الافتراضية: حدد بدقة VNet التي قسمت فيها الشبكة الفرعية. سيقوم النظام تلقائيًا باكتشاف وربط AzureBastionSubnet الذي تم بناؤه حديثًا.
IP العام: تحتاج خدمة Bastion نفسها إلى مدخل عام لتلقي طلبات HTTPS للمتصفح من الموظفين في جميع أنحاء العالم. قم بإنشاء عنوان IP قياسي للشبكة العامة يسمى pip-bst-prod.
انقر على إنشاء. سيقوم محرك Microsoft بدون خادم تلقائيًا بتلميع هذه البوابة عالية الحماية لك في الخلفية ، وعادة ما يستغرق الأمر حوالي 5 دقائق.
المرحلة الثالثة: لحظة المعجزة-تجربة "تسجيل الدخول الآمن على غرار ماتريكس" في نهاية صفحة الويب الخالصة
عندما تضيء حالة Bastion باللون الأخضر
Succeeded
في ذلك الوقت ، جاءت التجربة الأكثر إثارة للصدمة. اترك برنامج سطح المكتب البعيد المحلي بكلتا يديه واستعد للتخليص الجمركي المادي.
أدخل صفحة تفاصيل الجهاز الظاهري الخاص بك (مثل vm-linux-prod) بدون عنوان IP للشبكة العامة وهي معزولة تمامًا عن الإنرانت.
انقر على زر "Connect" الكبير في الجزء العلوي. في القائمة المنسدلة ، لا تتردد في اختيار "Connect via Bastion".
[صفحة تفاصيل الجهاز الظاهري] -> [انقر على Connect ] -> [حدد قناة Bastion]
يتم تبديل الصفحات على الفور إلى لوحة تسجيل دخول نظيفة للغاية. أدخل حساب نظام Linux الخاص بك (مثل الجذر) وكلمة المرور (أو قم بتحميل ملف مفتاح SSH الخاص).
تحدث الصورة الأكثر إثارة للصدمة: في اللحظة التي تنقر فيها على "Connect" ، سيظهر متصفحك تلقائيًا علامة تبويب جديدة تمامًا. داخل صفحة الويب هذه ، يتم عرض سطر أوامر محطة Linux السوداء والسريعة الاستجابة (أو سطح مكتب Windows الرائع) بشكل مثالي بنسبة 100 ٪!
أنت تدق في صفحة الويب
Ifconfig
، انظر إلى كل شيء
10.0.x.x
IP الداخلي الخالص ، لا يقوم الكمبيوتر المحلي بتشغيل أي VPN ، ولا يوجد تخطيط منفذ معقد ، وكل شيء سلس بشكل لا يصدق.
المرحلة الرابعة: تاريخ الدم والدموع في تجنب الحفر في ظل هيكل الدفاع العالي على مستوى داتشانغ
بعد تكوين هذه المجموعة من البرامج ، تم وضع أصول الأجهزة الافتراضية داخل شركتك في الخزنة. ولكن من أجل البقاء على قيد الحياة في ساحة المعركة التجارية الصارمة عالية التعقيد والمراجعة ، بصفتك كبير ضباط الأمن (CISO) ، يجب عليك لحام الحفر الخفية التالية التي يمكن التغاضي عنها بسهولة قبل إغلاق الكمبيوتر:
1. مأساة "قفل جدار الحماية NSG العكسي" القاتلة
كان العديد من مديري الشبكات الذين بدؤوا للتو في Bastion متحمسين للغاية بعد رؤية تسجيل الدخول الناجح إلى صفحة الويب. في السعي لتحقيق الأمن المطلق ، سوف يأتون إلى الأجهزة الافتراضية
مجموعة الأمن السيبراني (NSG)
في ،
تم بناء استراتيجية رفض جديدة بشكل جذري:
"حظر جميع حركة المرور الداخلية (Deny All Inbound)"
.
كارثة: بمجرد حفظ هذه الاستراتيجية ، ستجد أن Bastion في نهاية صفحة الويب قد تم قطعها على الفور ، ولن تتمكن من تسجيل الدخول مرة أخرى.
تفكيك السبب: يعتقد الكثير من الناس خطأً أن Bastion هي خدمة Microsoft الرسمية ، يمكنها تجاهل مجموعة أمان الشبكة (NSG). في الواقع ليس كذلك! يقوم Bastion أيضًا بتوصيل الأجهزة الافتراضية من خلال عنوان IP الخاص بالشبكة الداخلية (في نطاق AzureBastionSubnet). إذا قمت ببساطة بحظر منفذ 22/3389 من الجهاز الظاهري بشكل مباشر وتقريبي ، فستغلق حارس البوابة خارج الباب.
تكوين التجنب القياسي للمصنع الكبير: في قواعد دخول NSG للأجهزة الافتراضية ، يُمنع منعًا باتًا فتح 22 و 3389 للشبكة العامة (الإنترنت). ولكن يجب عليك إنشاء قاعدة ذات أولوية عالية: حدد المصدر "Service Tag" ، وحدد اسم العلامة بدقة AzureBastionSubnet ؛ يسمح المنفذ بالإفراج عن 22 و 3389. بهذه الطريقة ، باستثناء العم الذي يمكنه دفع الباب للدخول ، سيتم اعتراض أي ثور أو شبح أو ثعبان يطرق الباب على الشبكة العامة جسديًا على الفور.
2. احذر من الفخاخ المالية لـ "القيادة عبر VNet"
قامت العديد من الشركات ببناء أكثر من شبكة افتراضية (VNet) في السحابة ، وربما اختبار VNet في البيئة و VNet في بيئة الإنتاج. من أجل توفير المتاعب ، سيشتري العديد من المبتدئين مثالًا جديدًا تمامًا لـ Azure Bastion لكل VNet.
التعرض من الداخل: يتم حساب Azure Bastion على أساس الساعة والأمثلة. إذا قمت بفتح العديد من آلات الحصن ، فإن الفاتورة المرتفعة في نهاية الشهر يمكن أن تجعل الشؤون المالية تشتكي مباشرة مع الرئيس.
المهندسين المعماريين خفض التكاليف وزيادة الكفاءة ومواصفات التعزيز: الشبكة بأكملها تحتاج فقط إلى بناء آلة حصن (بنية Hub-Spoke). تحتاج فقط إلى بناء آلة حصن Bastion عالية المستوى في Hub-VNet الأساسية. تحتاج VNet الفرعية الأخرى (مثل بيئة الاختبار والإصدار المسبق) فقط إلى الاتصال بشبكة Hub-VNet الأساسية من خلال شبكة افتراضية (VNet Peering). عند تسجيل الدخول إلى الأجهزة الافتراضية الأخرى لـ VNet ، يمكن لـ Bastion عبور خط أنابيب Peering بذكاء شديد ، وربط مباشرة عبر الهواء ، وتحقيق "جهاز واحد يحرس الشبكة بالكامل". التحكم في القرص دقيق ، ويتم استخدام كل عملة معدنية على النصل.
الخلاصة
استخدم Azure Bastion لبناء قناة تسجيل دخول سريعة للأجهزة الافتراضية عالية المستوى على مستوى المؤسسة ، وتم تبسيط الجوهر الصناعي الأساسي إلى 16 كلمة:
محاذاة الأرقام السرية ، خالية من الشبكة العامة ، عرض صفحة الويب ، قفل الشبكة الداخلية.
لقد ودعت تمامًا المعاناة الأصلية للالتحديق في سجلات كسر العنف كل يوم ، والخوف من ثغرات كلمة المرور الضعيفة في الأجهزة الافتراضية ، والارتقاء في وقت متأخر من الليل لترقية نظام تشغيل آلة القفز. تتم استضافة جميع أسطح التحكم الأساسية في الاتصال عن بُعد بالكامل لشركة W التي أنشأتها Microsoft مقابل 10 مليارات دولار أمريكي
بوابة الأمن السيبراني على مستوى ب. اجلس أمام الكمبيوتر وافتح المتصفح واعمل بشكل أنيق ، وسمح للقراصنة بالمسح والكشف في المقدمة ، وسيكون الخادم الأساسي لإمبراطورية السحابة بأكملها مستقرًا مثل جبل تاي.