Pelayan awan Microsoft: Gunakan Azure Bastion untuk log masuk ke mesin maya dengan selamat dengan IP rangkaian awam percuma dan port RDP/SSH percuma
Dalam operasi harian dan penyelenggaraan awan awam perusahaan, terdapat kawasan yang paling selamat yang boleh disebut "pakaian baru maharaja":
Log masuk jauh ke mesin maya.
Ramai rakan yang baru saja memindahkan perniagaan mereka ke Microsoft Cloud (Azure), untuk menyelamatkan masalah, sering secara langsung memasang IP rangkaian awam ke mesin maya, dan kemudian memberi lampu hijau kepada kumpulan keselamatan rangkaian (NSG) untuk meletakkan Windows
RDP (Port 3389)
Atau Linux
SSH (port 22)
Pendedahan langsung kepada dunia.
Di mata penggodam dan skrip pengimbasan automatik, pendekatan ini sama dengan berlari telanjang di rangkaian awam. Anda hanya perlu log masuk ke latar belakang mesin maya Linux dan melihat log, dan anda akan terkejut apabila mendapati terdapat IP yang tidak diketahui dari seluruh dunia setiap minit dan setiap detik, menggunakan ribuan kombinasi kamus untuk memecahkan kata laluan root anda dengan ganas. Selagi pekerja tertentu dalam pasukan anda dapat dengan mudah menetapkan kata laluan yang lemah, kejatuhan seluruh pelayan dan bahkan intranet awan seluruh perusahaan hanyalah masalah masa.
Kaedah keselamatan tradisional adalah membina VPN, atau menggunakan mesin maya untuk menggerogoti konfigurasi, dan membina mesin loncatan sumber terbuka (mesin benteng). Tetapi mesin benteng yang anda bina sendiri juga memerlukan IP rangkaian awam. Anda bukan sahaja perlu menambal sistem operasi setiap hari, tetapi juga bimbang sama ada ia akan menjadi "satu titik kejayaan" di mata penggodam.
Dalam ekosistem keselamatan awan asli Microsoft, ada senjata serangan pengurangan dimensi yang dirancang untuk sepenuhnya mengakhiri "kegelisahan pendedahan rangkaian awam", yang disebut
Azure Bastion (Mesin kubu)
。
Logik utamanya sangat mendominasi dan murni:
Biarkan mesin maya anda mengucapkan selamat tinggal kepada IP rangkaian awam, dan bahkan menyekat semua port 22 dan 3389 di Cloud Defense (NSG). Pekerja hanya perlu membuka penyemak imbas untuk log masuk ke intranet tanpa rahsia, pertahanan tinggi, dan sutera di laman web.
Hari ini kami menolak sebarang khotbah konsep rasmi, dan secara langsung bermula dari pertempuran inti keras yang sebenarnya. Pemegang akan membawa anda menggunakan standard peringkat kilang besar dan mengkonfigurasi saluran benteng keselamatan tahap AVD dalam masa 10 minit.
Tahap pertama: pembongkaran mendalam, "Model Dunia Jubah Tidak Terlihat" Azure Bastion
Sebelum pergi ke konsol untuk mengklik tetikus, anda mesti membuat model operasi fizikal di bahagian bawah Azure Bastion. Mengapa ia dapat mencapai "tanpa IP rangkaian awam, tanpa pendedahan pelabuhan"?
Keseluruhan pautan komunikasi selamat terdiri daripada tiga kedudukan yang saling berkaitan:
[Penyemak Imbas Pengguna]-(Port HTTPS/443)-> [Azure Bastion (PaaS)] -(Intranet RDP/SSH )-> [Mesin Maya Intranet Murni (Tanpa IP Rangkaian Awam)]
Barisan hadapan yang benar-benar patuh (HTTPS / 443):Bastion adalah perkhidmatan PaaS yang dihoskan sepenuhnya. Semasa log masuk, pekerja tidak perlu memasang klien RDP (Remote Desktop Connection) atau Putty/Xshe pada komputer tempatan mereka
Alat seperti ll. Anda hanya perlu log masuk ke portal Azure, klik pada pautan, semua skrin jauh dan arahan operasi akan dikemas dan dikemas dalam lalu lintas HTTPS (port 443) standard, yang akan diberikan dan dipersembahkan secara langsung di tab penyemak imbas anda. Mana-mana firewall intranet korporat yang ketat tidak akan menyekat 443 lalu lintas web.
Kedudukan eksklusif yang benar-benar terpencil (AzureBastionSubnet):Bastion tidak akan berada di sub-rangkaian yang sama dengan mesin maya perniagaan anda. Ia memerlukan bahawa di rangkaian maya anda (VNet), anda harus membuat subnet bebas, eksklusif, dan tidak ada yang dibenarkan tinggal. Bastion duduk di kedudukan ini, memainkan penjaga pintu terkuat.
Private IP Link: Setelah anda mengesahkan bahawa akaun Azure anda adalah sah, ia akan menggunakan IP peribadi intranet untuk mengetuk pintu mesin maya anda melalui tulang belakang dalaman Microsoft Cloud. Oleh itu, mesin maya anda dapat memutuskan sepenuhnya semua hubungan fizikal dengan rangkaian luaran, 0 IP rangkaian awam dan 0 port luaran terbuka, stabil seperti gunung.
Tahap kedua: latihan pertempuran sebenarnya-10 minit untuk menaikkan bangunan tinggi di tanah dan mengimpal jalan selamat
Pastikan anda sudah mempunyai rangkaian maya (VNet) di Azure, dan terdapat mesin maya Linux atau Windows yang sama sekali tidak memasang IP rangkaian awam. Seterusnya, kami memulakan pertempuran.
Memasuki
Laman web Azure (Portal)
, cari dan masuk
"Bastions"
Halaman.
Langkah 1: Buka "zon larangan terbang" eksklusif Bastion (bahagian subnet)
Sebelum membuat Bastion, kita mesti pergi ke rangkaian maya untuk memotong pejabatnya yang bebas untuk penjaga pintu, jika tidak, penciptaan berikutnya akan gagal secara langsung.
Pergi ke halaman rangkaian maya (VNet) anda dan klik pada "Subnet" (subnet) di menu di sebelah kiri.
Klik "Subnet" di bahagian atas.
Langkah ke arah jiwa: Nama subnet mesti diisi secara paksa dan tanpa kata-kata: AzureBastionSubnet. Ini adalah satu-satunya kod rahsia yang dikenal pasti oleh skrip automatik Microsoft yang mendasari.
Julat alamat (julat alamat): Bahagikan segmen rangkaian kecil/26 atau/27 (contohnya, 10.0.1.0/26), klik Simpan.
Langkah 2: Mewujudkan Perkhidmatan Hosting Bastion
Kembali ke halaman Bastions, klik di bahagian atas
"Buat"
:
Konfigurasi asas: Pilih kumpulan sumber anda, namakan mesin benteng sebagai bst-core-prod, dan pilih kawasan yang sama persis dengan mesin maya anda (seperti East Asia Hong Kong).
Tahap (tahap): ujian pembangunan pilih "Devel
Di atas "(paling ekonomik, dikendalikan sepenuhnya);" Asas "atau" Standard "(menyokong zoom dinamik dan pemindahan fail) disyorkan untuk pengeluaran komersial.
Rangkaian maya: Pilih VNet dengan tepat yang baru anda bahagikan subnet. Sistem ini secara automatik akan mengesan dan mengikat AzureBastionSubnet yang baru dibina.
IP rangkaian awam: Perkhidmatan Bastion itu sendiri memerlukan pintu masuk terbuka untuk menerima permintaan HTTPS penyemak imbas dari pekerja di seluruh dunia. Buat IP rangkaian awam standard baru, bernama pip-bst-prod.
Klik untuk mencipta. Enjin pengaturcaraan tanpa pelayan Microsoft secara automatik akan menggilap gerbang pertahanan tinggi ini untuk anda di latar belakang, dan biasanya memerlukan masa sekitar 5 minit untuk membuat pesanan.
Tahap ketiga: momen ajaib-alami "log masuk keselamatan gaya Matrix" di sisi web yang murni
Apabila keadaan Bastion menyala hijau
Succeeded
Pada masa itu, pengalaman yang paling mengejutkan datang. Tinggalkan perisian desktop jarak jauh tempatan anda dengan kedua tangan, dan bersiaplah untuk membersihkan tahap fizikal.
Masukkan halaman perincian mesin maya anda (seperti vm-linux-prod) yang tidak mempunyai IP rangkaian awam dan benar-benar terasing dari rangkaian dalaman.
Klik butang besar "Connect" di bahagian atas, dan dalam menu lungsur, jangan ragu untuk memilih "Connect via Bastion".
[Halaman butiran mesin maya] -> [Klik Connect ] -> [Pilih saluran Bastion]
Halaman akan langsung beralih ke panel log masuk yang sangat bersih. Masukkan akaun sistem Linux anda (seperti root) dan kata laluan (atau muat naik fail kunci peribadi SSH anda).
Skrin yang paling mengejutkan berlaku: Sebaik sahaja anda mengklik "Connect", penyemak imbas anda akan muncul tab baru secara automatik. Di dalam laman web ini, baris arahan terminal Linux yang gelap dan pantas (atau desktop Windows yang cantik) secara langsung diberikan 100% sempurna!
Anda menaip di laman web
Ifconfig
, Melihat semuanya
10.0.x.x
IP intranet tulen, komputer tempatan tidak menghidupkan VPN, tidak mengkonfigurasi pemetaan port yang rumit, semuanya sangat lancar.
Tahap keempat: sejarah mengelakkan darah dan air mata di bawah struktur pertahanan tinggi peringkat kilang besar
Setelah rancangan ini dikonfigurasi, aset mesin maya di dalam syarikat anda telah dimasukkan ke dalam peti besi. Tetapi untuk bertahan di medan perang serentak dan audit komersial yang ketat, sebagai Ketua Pegawai Keselamatan (CISO), anda mesti mengelas dua lubang besar berikut yang mudah diabaikan sebelum menutup komputer:
1. Tragedi "kunci belakang firewall NSG" yang mematikan
Ramai pentadbir rangkaian yang baru memulakan Bastion sangat teruja setelah melihat bahawa laman web berjaya dilog masuk. Dalam mengejar keselamatan mutlak, mereka akan datang ke mesin maya
Kumpulan Keselamatan Siber (NSG)
Di dalam,
Secara drastik membuat strategi penolakan baru:
"Beny All Inbound (Deny All Inbound)"
。
Bencana berlaku: Sebaik sahaja strategi ini disimpan, anda akan mendapati bahawa Bastion di laman web terputus serta-merta dan tidak dapat log masuk lagi.
Pembongkaran alasan: Banyak orang secara keliru percaya bahawa kerana Bastion adalah perkhidmatan rasmi Microsoft, mereka dapat mengabaikan Kumpulan Keselamatan Rangkaian (NSG). Sebenarnya tidak! Bastion pada dasarnya disambungkan ke mesin maya melalui IP intranet (dalam rangkaian AzureBastionSubnet). Sekiranya anda menyekat port 22/3389 mesin maya secara langsung dan kasar, penjaga pintu akan ditutup.
Konfigurasi penghindaran lubang standard pengeluar utama: Dalam peraturan kemasukan NSG mesin maya, dilarang sama sekali membuka 22 dan 3389 ke rangkaian awam (Internet). Tetapi anda mesti membuat peraturan keutamaan tinggi baru: Sumber memilih "Service Tag", nama tag dipilih dengan tepat AzureBastionSubnet; port membenarkan 22 dan 3389 dilepaskan. Dengan cara ini, kecuali paman yang dapat mendorong pintu masuk, mana-mana ketukan di pintu awam akan dipintas secara fizikal dalam sekelip mata.
2. Berhati-hatilah dengan perangkap pelacuran putih kewangan "perintah buta di seluruh VNet"
Banyak syarikat telah membina lebih dari satu rangkaian maya (VNet) di awan, dan mungkin menguji persekitaran dengan satu VNet dan persekitaran pengeluaran dengan satu VNet. Untuk menyelamatkan masalah, banyak pemula akan membeli contoh Azure Bastion yang baru untuk setiap VNet.
Pendedahan orang dalam: Azure Bastion dikira mengikut jam dan contoh. Sekiranya anda membuka beberapa kubu, bil yang tinggi pada akhir bulan secara langsung dapat membuat kewangan mengadu kepada bos.
Kod untuk arkitek untuk mengurangkan kos dan meningkatkan kecekapan: Keseluruhan rangkaian hanya perlu membina mesin kubu (seni bina Hub-Spoke). Anda hanya perlu membina mesin kubu Bastion mewah di Hub-VNet teras. Sub-VNet yang lain (seperti ujian, persekitaran pra-pelancaran) hanya perlu disambungkan ke Hub-VNet teras melalui sambungan rangkaian maya (VNet Peering). Semasa log masuk ke mesin maya VNet yang lain, Bastion dapat melintasi saluran Peering dengan sangat bijak dan menyambung secara langsung ke udara untuk mencapai "mesin tunggal yang menjaga seluruh rangkaian". Plat kawalan tepat, dan setiap duit syiling digunakan pada pisau.
Ringkasan
Dengan menggunakan Azure Bastion untuk membina saluran masuk mesin maya pertahanan tinggi peringkat perusahaan dengan cepat, inti inti inti industri dipermudah menjadi enam belas perkataan:
Kod rahsia diselaraskan, menghilangkan keperluan rangkaian awam, rendering halaman web, dan intranet terkunci.
Anda benar-benar mengucapkan selamat tinggal kepada lautan penderitaan primitif yang biasa menatap log retak ganas setiap hari, takut akan kerentanan kata laluan yang lemah pada mesin maya, dan daging manusia bangun pada larut malam untuk meningkatkan sistem operasi mesin loncatan. Semua permukaan kawalan sambungan jauh teras dihoskan sepenuhnya kepada W yang dibina oleh Microsoft dengan puluhan bilion dolar
Gerbang keselamatan rangkaian tahap B. Duduk di depan komputer, buka penyemak imbas untuk bekerja dengan elegan, dan biarkan penggodam mengimbas dan mengesan di depan, pelayan teras seluruh kerajaan awan anda akan stabil seperti gunung.