Microsoft Cloud Server: ใช้ Azure Bastion (ป้อมปราการ) เพื่อเข้าสู่ระบบเครื่องเสมือนอย่างปลอดภัยโดยไม่ต้องใช้ IP สาธารณะและพอร์ต RDP/SSH

ในการใช้งานประจำวันและการบำรุงรักษาระบบคลาวด์สาธารณะขององค์กรมีพื้นที่ที่ได้รับผลกระทบหนักที่สุดซึ่งเรียกได้ว่าเป็น "เสื้อผ้าใหม่ของจักรพรรดิ":

การเข้าสู่ระบบระยะไกลของเครื่องเสมือน

เพื่อนๆหลายคนที่เพิ่งย้ายธุรกิจไปที่ Microsoft Cloud (Azure) เพื่อช่วยแก้ปัญหาพวกเขามักจะวาง IP เครือข่ายสาธารณะบนเครื่องเสมือนโดยตรงจากนั้นให้ไฟเขียวใน Network Security Group (NSG) เพื่อให้ Windows

RDP(3389พอร์ต)

หรือลินุกซ์

SSH(22พอร์ต)

สัมผัสกับโลกโดยตรง

ในสายตาของแฮกเกอร์และสคริปต์การสแกนอัตโนมัติแนวทางนี้เท่ากับการสตรีมบนเครือข่ายสาธารณะคุณต้องลงชื่อเข้าใช้พื้นหลังของเครื่องเสมือน Linux เพื่อดูบันทึกและคุณจะต้องตกใจเมื่อพบว่ามี IP ที่ไม่รู้จักจากทั่วทุกมุมโลกทุกนาทีและทุกวินาทีและคุณกำลังใช้พจนานุกรมหลายพันชุดเพื่อถอดรหัสรหัสผ่านรูทของคุณอย่างรุนแรงตราบใดที่พนักงานบางคนในทีมตั้งรหัสผ่านที่อ่อนแอเพื่อความสะดวกมันเป็นเพียงเรื่องของเวลาก่อนที่เซิร์ฟเวอร์ทั้งหมดและแม้แต่อินทราเน็ตคลาวด์ขององค์กรทั้งหมดจะล่มสลาย

วิธีการรักษาความปลอดภัยแบบดั้งเดิมคือการตั้งค่า VPN หรือใช้เครื่องเสมือนเพื่อทำให้การกำหนดค่าแข็งหรือใช้เครื่องสปริงบอร์ดโอเพนซอร์ส (เครื่องป้อมปราการ) แต่เครื่องป้อมปราการที่คุณสร้างขึ้นเองก็ต้องการ IP เครือข่ายสาธารณะเช่นกันคุณไม่เพียงแต่ต้องใช้แพตช์ระบบปฏิบัติการทุกวันแต่ยังต้องกังวลด้วยว่ามันจะกลายเป็น "จุดพัฒนาเดียว" ในสายตาของแฮกเกอร์หรือไม่

ในระบบนิเวศการรักษาความปลอดภัยบนคลาวด์ของ Microsoft มีอาวุธโจมตีลดมิติที่ออกแบบมาเพื่อยุติ "ความวิตกกังวลในการเปิดรับเครือข่ายสาธารณะ" โดยสิ้นเชิงเรียกว่า

Azure Bastion (เครื่องป้อม)

。

ตรรกะหลักของมันคือการครอบงำและบริสุทธิ์:

ปล่อยให้เครื่องเสมือนของคุณอำลา IP สาธารณะโดยสิ้นเชิงและแม้แต่บล็อกพอร์ต22และ3389ทั้งหมดบน Cloud Defense (NSG) พนักงานจะต้องเปิดเบราว์เซอร์เพื่อเข้าสู่ระบบอินทราเน็ตในหน้าเว็บโดยไม่มีความลับการป้องกันสูงและราบรื่น

วันนี้เราปฏิเสธแนวคิดอย่างเป็นทางการใดๆและเริ่มต้นโดยตรงจากการต่อสู้แบบฮาร์ดคอร์จริงมือจะพาคุณไปใช้มาตรฐานระดับโรงงานขนาดใหญ่และกำหนดค่าช่องป้อมปราการความปลอดภัยระดับ AVD ภายใน10นาที

ขั้นตอนที่1: การรื้อลึก "เสื้อคลุมล่องหนโลกรุ่น" โดย Azure Bastion

ก่อนที่จะไปที่คอนโซลและคลิกเมาส์คุณต้องสร้างแบบจำลองการทำงานทางกายภาพของ Azure Bastion ในใจของคุณเหตุใดจึงสามารถ "ไม่มี IP เครือข่ายสาธารณะและไม่มีการเปิดเผยพอร์ต" ได้

ลิงก์การสื่อสารที่ปลอดภัยทั้งหมดประกอบด้วยสามตำแหน่ง:

[ผู้ใช้เบราว์เซอร์]-(พอร์ต HTTPS/443)-> [Azure Bastion (PaaS)] -(อินทราเน็ต RDP/SSH )-> [เครื่องเสมือนอินทราเน็ตบริสุทธิ์ (ไม่มี IP สาธารณะ)]

แนวป้องกันส่วนหน้า (HTTPS / 443):Bastion เป็นบริการ PaaS ที่มีการจัดการอย่างสมบูรณ์พนักงานไม่จำเป็นต้องติดตั้งใดๆ RDP (Remote Desktop Connection) ไคลเอนต์หรือ Putty/Xshe บนเครื่องคอมพิวเตอร์ของคุณเมื่อเข้าสู่ระบบ

Ll และเครื่องมืออื่นๆคุณจะต้องลงชื่อเข้าใช้พอร์ทัล Azure คลิกเพื่อเชื่อมต่อและหน้าจอระยะไกลและคำแนะนำการใช้งานทั้งหมดจะถูกบรรจุและบรรจุในทราฟฟิก HTTPS มาตรฐาน (พอร์ต443) และแสดงโดยตรงในแท็บเบราว์เซอร์ของคุณไฟร์วอลล์ที่เข้มงวดของอินทราเน็ตขององค์กรจะไม่ดักจับการเข้าชมหน้าเว็บ443ครั้ง

ตำแหน่งพิเศษที่แยกได้อย่างสมบูรณ์ (AzureBastionSubnet):Bastion จะไม่ถูกบีบในเครือข่ายย่อยเดียวกับเครื่องเสมือนธุรกิจของคุณต้องใช้เครือข่ายเสมือนของคุณ (VNet) เพื่อวาดเครือข่ายย่อยอิสระที่ไม่ซ้ำใครซึ่งมีชื่อที่เชื่อมอย่างแน่นหนาและไม่มีใครได้รับอนุญาตให้อยู่ Bastion นั่งอยู่ในตำแหน่งนี้รับบทเป็นนายประตูที่แข็งแกร่งที่สุด

Private IP Link: เมื่อคุณลุงตรวจสอบว่าบัญชี Azure ของคุณถูกกฎหมายระบบจะใช้ IP ส่วนตัวของอินทราเน็ตเพื่อเคาะประตูเครื่องเสมือนของคุณผ่านเครือข่ายกระดูกสันหลังภายใน Microsoft Cloud ดังนั้นเครื่องเสมือนของคุณสามารถตัดการเชื่อมต่อทางกายภาพทั้งหมดกับเครือข่ายภายนอกได้อย่างสมบูรณ์ IP เครือข่ายสาธารณะ0พอร์ตภายนอก0พอร์ตเปิดและมีความเสถียรเช่นเดียวกับภูเขา

ขั้นตอนที่สอง: การฝึกซ้อมการต่อสู้จริง-10นาทีในการสร้างอาคารสูงบนพื้นดินและเชื่อมทางเดินที่ปลอดภัย

โปรดตรวจสอบให้แน่ใจว่าคุณมีเครือข่ายเสมือน (VNet) บน Azure อยู่แล้วและมีเครื่องเสมือน Linux หรือ Windows ที่ไม่ได้ติดตั้ง IP สาธารณะเลยต่อไปเราจะเริ่มการต่อสู้

เข้าสู่

พอร์ทัลเว็บไซต์ของ Azure

,ค้นหาแล้วเข้าไป

"Bastions"

หน้าเพจ

ขั้นตอนที่1: เปิด "เขตห้ามบิน" เฉพาะของ Bastion (การแบ่งเครือข่ายย่อย)

ก่อนที่จะสร้าง Bastion เราต้องไปที่เครือข่ายเสมือนเพื่อตัดสำนักงานอิสระของเขาสำหรับคนเฝ้าประตูมิฉะนั้นการสร้างในภายหลังจะรายงานข้อผิดพลาดโดยตรงและล้มเหลว

ไปที่หน้าเว็บเสมือน (VNet) ของคุณแล้วคลิกที่ "Subnets" (Subnets) ในเมนูด้านซ้าย

คลิก "Subnet" ที่ด้านบน

ขั้นตอนในการฉีดจิตวิญญาณ: ต้องกรอกชื่อซับเน็ต (ชื่อ) เป็น: AzureBastionSubnet นี่เป็นสัญญาณเดียวที่ระบุโดยสคริปต์อัตโนมัติพื้นฐานของ Microsoft และไม่สามารถใช้ตัวอักษรผิดได้

ช่วงแอดเดรส: แบ่งส่วนเครือข่ายขนาดเล็ก/26หรือ/27 (เช่น10.0.1.0/26) คลิกบันทึก

ขั้นตอนที่2: สร้างบริการโฮสติ้ง Bastion

กลับไปที่หน้า Bastions คลิกที่ด้านบน

"Create"

:

การกำหนดค่าพื้นฐาน: เลือกกลุ่มทรัพยากรของคุณตั้งชื่อเครื่องป้อมปราการว่า bst-core-prod และเลือกภูมิภาคที่เหมือนกับเครื่องเสมือนของคุณ (เช่น East Asia HongKong)

Tier (ระดับ): เลือก "Devel สำหรับการทดสอบการพัฒนา

Oper "(ประหยัดที่สุดโฮสติ้งเต็มรูปแบบ) การผลิตเชิงพาณิชย์แนะนำให้เลือก" พื้นฐาน "หรือ" มาตรฐาน "(รองรับการซูมแบบไดนามิกและการถ่ายโอนไฟล์)

เครือข่ายเสมือน: เลือก VNet ที่คุณเพิ่งแบ่งเครือข่ายย่อยระบบจะตรวจจับและผูก AzureBastionSubnet ที่เราเพิ่งสร้างขึ้นโดยอัตโนมัติ

IP สาธารณะ: บริการ Bastion ต้องการพอร์ทัลสาธารณะเพื่อรับคำขอ HTTPS จากเบราว์เซอร์ของพนักงานทั่วโลกสร้าง IP เครือข่ายสาธารณะมาตรฐานใหม่ชื่อ pip-bst-prod

คลิกสร้างเอ็นจิ้นการจัดเรียงแบบไม่ใช้เซิร์ฟเวอร์ของ Microsoft จะขัดเกตเวย์การป้องกันสูงนี้ให้คุณโดยอัตโนมัติในพื้นหลังโดยปกติจะใช้เวลาประมาณ5นาทีในการลงจอด

ขั้นตอนที่สาม: ช่วงเวลามหัศจรรย์-สัมผัสกับ "การเข้าสู่ระบบที่ปลอดภัยแบบเมทริกซ์" บนเว็บที่บริสุทธิ์

เมื่อสถานะของ Bastion สว่างขึ้นสีเขียว

Succeeded

เมื่อประสบการณ์ที่น่าตกใจที่สุดมาถึงออกจากซอฟต์แวร์เดสก์ท็อประยะไกลในพื้นที่ของคุณด้วยมือทั้งสองข้างและเตรียมพร้อมสำหรับการกวาดล้างทางกายภาพ

เข้าสู่หน้ารายละเอียดเครื่องเสมือนของคุณ (เช่น vm-linux-prod) โดยไม่มี IP เครือข่ายสาธารณะและอยู่ในสถานะแยกอินทราเน็ตโดยสิ้นเชิง

คลิกปุ่มใหญ่ "Connect" (Connect) ที่ด้านบนและเลือก "Connect via Bastion" โดยไม่ลังเลในเมนูแบบเลื่อนลง

[หน้ารายละเอียดเครื่องเสมือน] -> [คลิก Connect ] -> [เลือกช่อง Bastion]

หน้าจะเปลี่ยนเป็นแผงเข้าสู่ระบบที่สะอาดมากทันทีป้อนบัญชีระบบลินุกซ์นี้ (เช่นรูท) และรหัสผ่าน (หรืออัปโหลดไฟล์คีย์ส่วนตัว SSH ของคุณ)

หน้าจอที่น่าตกใจที่สุดเกิดขึ้น: ทันทีที่คุณคลิก "Connect" เบราว์เซอร์ของคุณจะปรากฏแท็บใหม่โดยอัตโนมัติภายในหน้าเว็บนี้บรรทัดคำสั่งเทอร์มินัล Linux ที่มืดและตอบสนองเร็วมาก (หรือเดสก์ท็อปที่สวยงามของ Windows) จะแสดงโดยตรงอย่างสมบูรณ์แบบ100%!

คุณพิมพ์ในหน้าเว็บ

Ifconfig

, ดูทั้งหมด

10.0 .x.x

IP อินทราเน็ตที่บริสุทธิ์คอมพิวเตอร์ในเครื่องไม่ได้เปิด VPN ใดๆและไม่ได้กำหนดค่าการทำแผนที่พอร์ตที่ซับซ้อนทุกอย่างราบรื่นอย่างไม่น่าเชื่อ

ขั้นตอนที่สี่: ประวัติความเป็นมาของการหลีกเลี่ยงเลือดและน้ำตาภายใต้โครงสร้างการป้องกันระดับสูงของโรงงานขนาดใหญ่

หลังจากกำหนดค่าแผนนี้แล้วทรัพย์สินของเครื่องเสมือนภายในบริษัทของคุณจะถูกยัดเข้าไปในตู้เซฟแต่เพื่อที่จะอยู่รอดในสนามรบที่มีการทำงานพร้อมกันและการตรวจสอบในเชิงพาณิชย์ที่รุนแรงในฐานะหัวหน้าเจ้าหน้าที่รักษาความปลอดภัย (CISO) คุณต้องเชื่อมหลุมที่มองไม่เห็นสองหลุมต่อไปนี้ซึ่งง่ายต่อการมองข้ามก่อนที่จะปิดคอมพิวเตอร์:

1.โศกนาฏกรรมร้ายแรง "ไฟร์วอลล์ NSG ล็อคย้อนกลับ"

ผู้ดูแลเว็บหลายคนที่เพิ่งเริ่มต้น Bastion รู้สึกตื่นเต้นมากหลังจากเห็นการเข้าสู่ระบบเว็บสำเร็จเพื่อความปลอดภัยอย่างแท้จริงพวกเขาจะมาที่เครื่องเสมือน

กลุ่มรักษาความปลอดภัยเครือข่าย (NSG)

ใน,

สร้างกลยุทธ์การปฏิเสธใหม่อย่างมาก:

"ห้ามการจราจรขาเข้าทั้งหมด (Deny All Inbound)"

。

เกิดภัยพิบัติ: ทันทีที่บันทึกกลยุทธ์นี้คุณจะพบว่า Bastion บนเว็บถูกตัดการเชื่อมต่อทันทีและไม่สามารถเข้าสู่ระบบได้อีก

การถอดเหตุผล: หลายคนเข้าใจผิดว่า Bastion เป็นบริการอย่างเป็นทางการของ Microsoft พวกเขาสามารถเพิกเฉยต่อ Network Security Group (NSG) ได้ไม่จริง! Bastion เชื่อมต่อกับเครื่องเสมือนผ่าน IP อินทราเน็ต (ในขอบเขตของ AzureBastionSubnet) หากคุณบล็อกพอร์ต22/3389ของเครื่องเสมือนโดยตรงและหยาบคายคุณจะปิดประตู

การกำหนดค่าการหลีกเลี่ยงหลุมมาตรฐานของผู้ผลิตรายใหญ่: ในกฎการเข้าถึง NSG ของเครื่องเสมือนห้ามมิให้เปิด22และ3389ไปยังเครือข่ายสาธารณะโดยเด็ดขาดแต่คุณต้องสร้างกฎที่มีลำดับความสำคัญสูงใหม่: แหล่งที่มาเลือก "Service Tag" ชื่อแท็กเลือก AzureBastionSubnet อย่างถูกต้องพอร์ตอนุญาตให้ปล่อย22และ3389ด้วยวิธีนี้ยกเว้นลุงที่สามารถผลักประตูเข้าไปได้ผีและงูที่เคาะประตูบนอินเทอร์เน็ตจะถูกสกัดกั้นทันที

2.ระวังกับดักการค้าประเวณีทางการเงินของ "คำสั่งตาบอดข้าม VNet"

หลายบริษัทได้สร้างเครือข่ายเสมือน (VNet) มากกว่าหนึ่งเครือข่ายในระบบคลาวด์และอาจทดสอบสภาพแวดล้อม VNet หนึ่งแห่งและสภาพแวดล้อมการผลิตหนึ่ง VNet หนึ่งแห่งเพื่อช่วยลดปัญหาสามเณรจำนวนมากจะซื้ออินสแตนซ์ Azure Bastion ใหม่สำหรับทุก VNet

การเปิดเผยข้อมูลภายใน: Azure Bastion คำนวณเงินตามชั่วโมงและอินสแตนซ์หากคุณขับเครื่องบินป้อมปราการหลายลำค่าใช้จ่ายที่สูงในช่วงปลายเดือนสามารถทำให้การเงินร้องเรียนกับเจ้านายได้โดยตรง

สถาปนิกลดต้นทุนและเพิ่มประสิทธิภาพข้อกำหนดการเสริมกำลัง: เครือข่ายทั้งหมดต้องการเพียงเครื่องป้อม (สถาปัตยกรรม Hub-Spoke) คุณเพียงแค่ต้องสร้างเครื่องป้อม Bastion ระดับไฮเอนด์ใน Hub-VNet หลัก VNet ย่อยอื่นๆ (เช่นการทดสอบสภาพแวดล้อมก่อนการออก) จะต้องเชื่อมต่อกับ Hub-VNet ผ่านเครือข่ายเสมือน (VNet Peering) เท่านั้นเมื่อลงชื่อเข้าใช้เครื่องเสมือน VNet อื่นๆ Bastion สามารถข้ามไปป์ไลน์ของ Peering ได้อย่างชาญฉลาดและเชื่อมต่อโดยตรงจากอากาศโดยตระหนักถึง "การป้องกันแบบสแตนด์อโลนของเครือข่ายทั้งหมด" แผงควบคุมมีความแม่นยำและใช้เหรียญทุกเหรียญบนใบมีด

สรุป

การใช้ Azure Bastion เพื่อสร้างช่องทางการเข้าสู่ระบบเครื่องเสมือนที่มีการป้องกันสูงระดับองค์กรอย่างรวดเร็วสาระสำคัญระดับอุตสาหกรรมหลักถูกทำให้ง่ายขึ้นเป็น16คำ:

การจัดตำแหน่งรหัสลับไม่จำเป็นต้องใช้เครือข่ายสาธารณะการแสดงผลหน้าเว็บและการล็อกอินทราเน็ต

คุณได้อำลาทะเลอันขมขื่นดั้งเดิมของการดูบันทึกการแคร็กที่รุนแรงทุกวันกลัวช่องโหว่ของรหัสผ่านที่อ่อนแอของเครื่องเสมือนและเนื้อมนุษย์ในตอนดึกเพื่ออัพเกรดระบบปฏิบัติการสปริงบอร์ดจัดการพื้นผิวควบคุมการเชื่อมต่อระยะไกลหลักทั้งหมดให้กับ W ที่สร้างโดย Microsoft ด้วยเงินหลายหมื่นล้านดอลลาร์

เกตเวย์การรักษาความปลอดภัยเครือข่ายระดับธุรกิจนั่งอยู่หน้าคอมพิวเตอร์เปิดเบราว์เซอร์และทำงานอย่างหรูหราไม่ว่าแฮกเกอร์จะสแกนและตรวจจับด้านหน้าอย่างไรเซิร์ฟเวอร์หลักทั้งหมดของอาณาจักรคลาวด์ของคุณจะมั่นคงเหมือนภูเขา