Säkerhetshantering i Azure
Azure-prenumeranter kan hantera sina molnmiljöer från flera enheter, inklusive hantering av arbetsstationer, utvecklardatorer och även privilegierade slutanvändarens enheter som har uppgiftsspecifika behörigheter. I vissa fall kan administrativa funktioner utförs via webbaserade konsoler som Azure-portalen. I andra fall kan det finnas direkta anslutningar till Azure från lokala system via virtuella privata nätverk (VPN), Terminal Services, klientprogramprotokoll eller (programmatiskt) den klassiska Azure-distributionsmodellen. Dessutom kan klientslutpunkter vara antingen domänanslutna eller isolerade och ohanterade, till exempel surfplattor eller smartphones.
Även om de många funktionerna för åtkomst och hantering tillhandahåller en omfattande uppsättning alternativ, kan den här variationen medföra betydande risker för en molndistribution. Det kan vara svårt att hantera, spåra och granska administrativa åtgärder. Den här variationen kan också innebära säkerhetshot via oreglerad åtkomst till klientslutpunkter som används för att hantera molntjänster. Med hjälp av allmänna eller personliga arbetsstationer för att utveckla och hantera infrastrukturen öppnas oförutsägbara hotvektorer, till exempel webbsurfning (t.ex. vattenhålsattacker) eller mejl (t.ex. social manipulation och nätfiskewebbplatser).
Risken för attacker ökar i den här typen av miljö eftersom det är svårt att skapa säkerhetsprinciper och mekanismer för att hantera åtkomst till Azure-gränssnitt (till exempel SMAPI) från vitt skilda slutpunkter.
Hot med fjärrhantering
Angripare försöka ofta få privilegierad åtkomst genom att kompromettera autentiseringsuppgifter (till exempel med råstyrkeattacker för lösenord, nätfiske och insamling av autentiseringsuppgifter). De kan också försöka lura användare till att köra skadlig kod (till exempel från skadliga webbplatser med hämtningar eller från skadliga mejlbilagor). I en fjärradministrerade molnmiljö kan kontoöverträdelser leda till ökad risk på grund av att användarna har åtkomst var som helst, när som helst.
Även med noggranna kontroller på primära administratörskonton kan användarkonton på lägre nivå användas för att utnyttja svagheter i ens säkerhetsstrategi. Brist på lämplig säkerhetsutbildning kan också leda till överträdelser genom att kontoinformation avslöjas eller exponeras oavsiktligt.
När en användares arbetsstation också används för administrativa uppgifter, kan den vara hotad på många olika punkter. Det kan vara att en användare surfar på Internet, använder ett verktyg från en annan utvecklare eller med öppen källkod eller att man öppnar en skadlig dokumentfil som innehåller en trojan.
Vanligtvis kan de flesta riktade attacker som leder till dataöverträdelser spåras till webbläsartrojaner, plugin-program (till exempel Flash, PDF, Java) och nätfiske (e-post) på stationära datorer. När dessa datorer används för utveckling och hantering av andra tillgångar kan de ha behörigheter på administrativ nivå eller tjänstnivå för att komma åt aktiva servrar eller nätverksenheter för åtgärder.
Grunderna om operativ säkerhet
För säkrare hantering och åtgärder kan du minimera en klients attackyta genom att minska antalet möjliga startpunkter. Detta kan göras genom säkerhetsprinciper: "ansvarsfördelning" och "uppdelning av miljöer".
Isolera känsliga funktioner från varandra för att minska risken för att ett fel på en nivå leder till en överträdelse på en annan. Exempel:
- Administrativa uppgifter ska inte kombineras med aktiviteter som kan leda till en kompromiss (till exempel skadlig kod i en administratörs e-post som sedan infekterar en infrastrukturserver).
- En arbetsstation som används för åtgärder med hög känslighet bör inte vara samma system som används för högriskändamål, till exempel att surfa på Internet.
Minska systemets attackyta genom att ta bort onödig programvara. Exempel:
- Standardarbetsstationen för administration, support eller utveckling bör inte kräva installation av en e-postklient eller andra produktivitetsprogram om enhetens huvudsakliga syfte är att hantera molntjänster.
Klientdatorer som har administratörsåtkomst till infrastrukturkomponenter bör ha så strikta principer som möjligt för att minska säkerhetsrisker. Exempel:
- Säkerhetsprinciperna kan innehålla grupprincipinställningar som nekar öppen Internet-åtkomst från enheten och användning av en restriktiv brandväggskonfiguration.
- Använd IPsec (Internet Protocol security) VPN om direktåtkomst behövs.
- Konfigurera separata Active Directory-domäner för hantering och utveckling.
- Isolera och filtrera nätverkstrafiken på hanteringsdatorn.
- Använd program mot skadlig kod.
- Minska risken för stulna autentiseringsuppgifter genom att implementera multifaktorautentisering.
Du kan också förenkla hanteringsuppgifter genom att konsolidera och ta bort ohanterade slutpunkter.
Skapa säker Azure-fjärrhantering
Azure tillhandahåller säkerhetsmekanismer som hjälper administratörer som hanterar Azure-molntjänster och virtuella datorer. Dessa mekanismer är:
- Autentisering och rollbaserad åtkomstkontroll i Azure (Azure RBAC).
- Övervakning, loggning och granskning.
- Certifikat och krypterad kommunikation.
- En webbhanteringsportal.
- Filtrering av nätverkspaket.
Med säkerhetskonfiguration på klientsidan och datacenterdistribution av en hanteringsgateway är det möjligt att begränsa och övervaka administratörsåtkomsten till molnprogram och data.
Kommentar
Vissa rekommendationerna i den här artikeln kan leda till ökad användning av data, nätverk eller beräkningsresurser och öka kostnaderna för din licens eller prenumeration.
Förstärkt dator för hantering
Målet med att förstärka en dator är att ta bort alla utom de mest kritiska funktioner som krävs för att den ska fungera. Det minimerar risken för potentiella attacker så mycket som möjligt. Systemförstärkning handlar bland annat om att minimera antalet installerade produkter och program, begränsa programkörning, begränsa nätverksåtkomsten bara till vad som behövs och se till att datorn alltid är uppdaterad. Dessutom separeras administrativa verktyg och aktiviteter från andra slutanvändaraktiviteter när man arbetar med en förstärkt dator.
Inom en lokal företagsmiljö kan du begränsa risken för angrepp på den fysiska infrastrukturen via dedikerade hanteringsnätverk, serverrum med kortåtkomst och datorer som körs på skyddade delar av nätverket. I en moln- eller hybridbaserad IT-modell kan et vara mer komplicerat med säker hantering eftersom det saknas fysisk åtkomst till IT-resurserna. Det krävs noggrann programvarukonfiguration, säkerhetsfokuserade processer och omfattande principer för att implementera skyddslösningar.
Genom att använda minsta möjliga programvaruavtryck i en låst arbetsstation för molnhantering och för programutveckling kan du minska risken för säkerhetsincidenter genom att standardisera fjärrhanterings- och utvecklingsmiljöerna. En förstärkt datorkonfiguration gör att du kan förhindra att konton som används för hantering av kritiska molnresurser komprometteras. Det gör du genom att stänga många vanliga vägar som används av skadlig kod och trojaner. Mer specifikt kan du med hjälp av Windows AppLocker och Hyper-V-teknik styra och isolera klientsystembeteende och minska hotrisken, inklusive mejl eller surfning.
På en förstärkt arbetsstation kör administratören ett standardanvändarkonto (som blockerar körning på administrativ nivå) och associerade program styrs av en tillåtna lista. Grundelementen i en förstärkt dator är följande:
- Aktiv genomsökning och korrigering. Distribuera program mot skadlig kod, utföra regelbundna sårbarhetsgenomsökningar och uppdatera alla datorer med de senaste säkerhetsuppdateringarna inom rimlig tid.
- Begränsad funktionalitet. Avinstallera alla program som inte behövs och inaktivera onödiga (start)-tjänster.
- Förstärka nätverket. Använda regler för Windows-brandväggen och endast tillåta giltiga IP-adresser, portar och URL:er som är relaterade till hantering av Azure. Se till att inkommande fjärranslutningar till datorn också blockeras.
- Begränsning av körning. Tillåt endast en uppsättning fördefinierade körbara filer som behövs för att hanteringen ska kunna köras (kallas "default-neka"). Som standard bör användarna nekas behörighet att köra alla program om det inte uttryckligen definieras i listan över tillåtna program.
- Lägsta behörighet. Användare av hanteringsarbetsstationer bör inte ha några administratörsbehörigheter på själva den lokala datorn. På så sätt kan de inte ändra systemkonfigurationen eller systemfilerna, antingen avsiktligt eller oavsiktligt.
Du kan framtvinga allt detta genom att använda grupprincipobjekt (GPO:er) i AD DS (Active Directory Domain Services) och genom att använda dem i din (lokala) hanteringsdomän för alla hanteringskonton.
Hantera tjänster, program och data
Konfiguration av Azure Cloud Services utförs antingen via Azure Portal eller SMAPI, via kommandoradsgränssnittet Windows PowerShell eller ett specialbyggt program som utnyttjar dessa RESTful-gränssnitt. Tjänster som använder dessa mekanismer inkluderar Microsoft Entra-ID, Azure Storage, Azure Websites och Azure Virtual Network med flera.
Virtuella datordistribuerade program tillhandahåller sina egna klientverktyg och gränssnitt efter behov, till exempel Microsoft Management Console (MMC), en företagshanteringskonsol (till exempel Microsoft System Center eller Windows Intune) eller ett annat hanteringsprogram, Till exempel Microsoft SQL Server Management Studio. Verktygen finns oftast i en företagsmiljö eller i ett klientnätverk. De kan vara beroende av specifika nätverksprotokoll, till exempel Remote Desktop Protocol (RDP), som kräver direkta och tillståndskänsliga anslutningar. Vissa kan ha webbaktiverade gränssnitt som inte bör publiceras öppet eller vara tillgängliga via Internet.
Du kan begränsa åtkomsten till hantering av infrastruktur- och plattformstjänster i Azure med hjälp av multifaktorautentisering, X.509-hanteringscertifikat och brandväggsregler. Azure Portal och SMAPI kräver TLS (Transport Layer Security). Men tjänster och program som du distribuerar till Azure måste du vidta skyddsåtgärder som är lämpliga för ditt program. Dessa mekanismer kan ofta aktiveras enklare via en standardiserad förstärkt datorkonfiguration.
Riktlinjer för säkerhet
I allmänhet liknar det metoder som används för alla lokala arbetsstationer att skydda administratörsarbetsstationer för användning med molnet. Till exempel minimerade byggbehörigheter och restriktiva behörigheter. Vissa unika aspekter av molnhantering liknar mer företagshantering via fjärranslutning eller utanför IP-nätverket. Det gäller bland annat att använda och granska autentiseringsuppgifter, fjärråtkomst med ökad säkerhet och hotidentifiering och -svar.
Autentisering
Du kan använda inloggningsbegränsningar för Azure om du vill begränsa källans IP-adresser från åtkomst till administrativa verktyg och granska förfrågningar. För att hjälpa Azure att identifiera hanteringsklienter (arbetsstationer och/eller program) kan du konfigurera både SMAPI (via kundutvecklade verktyg som Windows PowerShell-cmdletar) och Azure-portalen för att kräva att hanteringscertifikat på klientsidan installeras, utöver TLS/SSL-certifikat. Vi rekommenderar också att administratörsåtkomst kräver multifaktorautentisering.
Vissa program eller tjänster som du distribuerar till Azure kan ha egna autentiseringsmekanismer för både slutanvändare och administratörsåtkomst, medan andra utnyttjar Microsoft Entra-ID fullt ut. Beroende på om du federerar autentiseringsuppgifter via Active Directory Federation Services (AD FS) (AD FS) kan du hantera identitetslivscykler mellan resurserna med hjälp av Microsoft Identity Manager (en del av Microsoft Entra ID P1 eller P2) med hjälp av katalogsynkronisering eller underhåll av användarkonton enbart i molnet.
Anslutning
Du kan säkra klientanslutningar till dina virtuella Azure-nätverk med hjälp av andra tillgängliga mekanismer. Två av dessa mekanismer, plats-till-plats VPN (S2S) och punkt-till-plats VPN (P2S), möjliggör användning av branschstandard-IPsec (S2S) för kryptering och tunneltrafik. När Azure ansluter till offentliga Azure-tjänster för hantering, till exempel Azure Portal, kräver Azure Hypertext Transfer Protocol Secure (HTTPS).
En fristående härdad arbetsstation som inte ansluter till Azure via en RD Gateway bör använda SSTP-baserade punkt-till-plats-VPN för att skapa den första anslutningen till Azure Virtual Network och sedan upprätta RDP-anslutning till enskilda virtuella datorer från med VPN-tunneln.
Hantering av granskning jämfört med tillämpning av principer
Vanligtvis finns det två sätt som hjälper dig att säkra hanteringsprocesser: gransknings- och principtillämpning. Om du gör både och får du omfattande kontroller, men det kanske inte är möjligt i alla situationer. Dessutom innebär varje metod olika nivåer av risk, kostnad och arbete som är kopplat till att hantera säkerhet, särskilt eftersom det gäller vilken förtroendenivå man har både för enskilda personer och för systemarkitekturer.
Övervakning, loggning och granskning ger en grund för att spåra och förstå administrativa aktiviteter, men det inte alltid möjligt att granska alla åtgärder i detalj på grund av mängden data som genereras. Men det är alltid bra att utvärdera hur effektiva hanteringsprinciperna är.
Principtillämpning som innehåller strikta åtkomstkontroller skapar programmässiga mekanismer som kan styra administratörsåtgärder, och det säkerställer att alla möjliga skyddsåtgärder används. Loggning ger bevis på efterlevnad. Det ger också ett register över vem som gjorde vad, från var och när. Med loggning kan du också granska och dubbelkontrollera information om hur administratörer följer principerna, och det ger dig aktivitetsbevis
Klientkonfiguration
Vi rekommenderar tre primära konfigurationer för en förstärkt dator. De största skillnaderna mellan dem är kostnad, användbarhet och tillgänglighet, samtidigt som du får en liknande säkerhetsprofil för alla alternativ. Följande tabell ger en kort analys av fördelar och riskerna för vart och ett av dem. (Observera att "företagsdator" refererar till en standardkonfiguration för stationär dator som skulle distribueras för alla domänanvändare, oavsett roller.)
| Konfiguration | Förmåner | Nackdelar |
|---|---|---|
| Fristående förstärkt dator | Strikt kontrollerad dator | högre kostnader för dedikerade stationära datorer |
| - | Minskad risk för programtrojaner | Ökat hanteringsarbete |
| - | Tydlig uppdelning av uppgifter | - |
| Företagets dator som virtuell dator | Minskade maskinvarukostnader | - |
| - | Uppdelning av roll och program | - |
Det är viktigt att den härdade arbetsstationen är värden och inte gästen, utan något mellan värdoperativsystemet och maskinvaran. Att följa principen "ren källa" (även kallat "säkert ursprung") innebär att värden ska vara den mest härdade. I annat fall utsätts den härdade arbetsstationen (gästen) för attacker mot systemet där den finns.
Du kan särskilja administrativa funktioner ytterligare via dedikerade systemavbildningar för varje strikt dator som bara har de verktyg och behörigheter som krävs för att hantera utvalda Azure- och molnprogram. Det gör du med specifika lokala AD DS-grupprincipobjekt för de nödvändiga uppgifterna.
För IT-miljöer som inte har lokal infrastruktur (till exempel ingen åtkomst till en lokal AD DS-instans för grupprincipobjekt eftersom alla servrar finns i molnet) kan en tjänst som Microsoft Intune förenkla distribution och underhåll av datorkonfigurationer.
Fristående strikt dator för hantering
Med en fristående strikt dator har administratörer en stationär eller bärbar dator som de använder för administrativa uppgifter och en annan separat stationär eller bärbar dator för icke-administrativa uppgifter. I situationen med den fristående strikta datorn (visas nedan) har den lokala instansen av Windows-brandväggen (eller en klientbrandvägg från en annan leverantör än Microsoft) konfigurerats för att blockera inkommande anslutningar, till exempel RDP. Administratören kan logga in på den härdade arbetsstationen och starta en RDP-session som ansluter till Azure efter att ha upprättat en VPN-anslutning med ett virtuellt Azure-nätverk, men kan inte logga in på en företagsdator och använda RDP för att ansluta till själva den härdade arbetsstationen.
Företagets dator som virtuell dator
I fall där en separat fristående strikt dator är kostnadshindrande eller olämplig kan den vara värd för en virtuell dator för icke-administrativa uppgifter.
Du kan undvika flera säkerhetsrisker som kan uppstå när du använder en dator för systemhantering och andra dagliga arbetsuppgifter genom att distribuera en virtuell Windows Hyper-V-dator till den strikta datorn. Den här virtuella datorn kan användas som företagets dator. Företagets datormiljö kan förbli isolerad från värden, vilket minskar dess attackyta och tar bort användarens dagliga aktiviteter (till exempel e-post) från att samexistera med känsliga administrativa uppgifter.
Företagets virtuella dator körs i ett skyddat utrymme och tillhandahåller användarprogram. Värden förblir en "ren källa" och tillämpar strikta nätverksprinciper i rotoperativsystemet (till exempel blockera RDP-åtkomst från den virtuella datorn).
Bästa praxis
Överväg följande ytterligare riktlinjer när du hanterar program och data i Azure.
Att tänka på
Anta inte att eftersom en arbetsstation har låsts behöver andra vanliga säkerhetskrav inte uppfyllas. Risken är högre på grund av de upphöjda åtkomstnivåerna som administratörskonton normalt har. Exempel på risker och deras olika säkra rutiner visas i tabellen nedan.
| Gör inte följande | Gör följande |
|---|---|
| Skicka inte autentiseringsuppgifter via e-post för administratörsåtkomst eller andra hemligheter (till exempel TLS/SSL eller hanteringscertifikat) | Upprätthåll sekretessen genom att lämna ut kontonamn och -lösenord via telefon (men lagrar dem inte i röstmeddelanden), utför en fjärrinstallation av klient-/servercertifikat (via en krypterad session), ladda ned från en skyddad nätverksresurs eller distribuera manuellt via flyttbara medier. |
| - | Hantera hanteringscertifikatets livscyklar proaktivt. |
| Lagra inte lösenord okrypterade eller icke-hashformaterade i programlagring (till exempel i kalkylblad, SharePoint-webbplatser eller filresurser). | Fastställa säkerhetsprinciper och principer för systemhärdning och använd dem i din utvecklingsmiljö. |
| Använd inte samma konton och lösenord för flera administratörer. Återanvänd inte heller lösenord i flera användarkonton eller -tjänster, särskilt de för sociala medier eller andra icke-administrativa aktiviteter. | Skapa ett dedikerat Microsoft-konto för att hantera din Azure-prenumeration, ett konto som inte används för personlig e-post. |
| Skicka inte konfigurationsfiler via mejl. | Konfigurationsfiler och profiler ska installeras från en betrodd källa (till exempel en krypterad USB-flash-enhet), inte från en mekanism som lätt kan äventyras, till exempel mejl. |
| Använd inte svaga eller enkla lösenord för inloggning. | Framtvinga starka lösenordsprinciper, förfallocykler (ändring vid första användning), tidsgränser för konsolen och automatiska kontoutelåsningar. Använd ett hanteringssystem för klientlösenord med multifaktorautentisering för valvåtkomst med lösenord. |
| Exponera inte hanteringsportar på Internet. | Begränsa hanteringsåtkomsten genom att låsa Azure-portar och IP-adresser. |
| - | Använd brandväggar, VPN:er och NAP för alla hanteringsanslutningar. |
Åtgärder i Azure
Inom Microsofts drift av Azure använder drifttekniker och supportpersonal som har åtkomst till Azures produktionssystem härdade arbetsstationsdatorer med virtuella datorer som etablerats på dem för intern åtkomst till företagsnätverk och program (till exempel e-post, intranät osv.). Alla datorer för hanteringsarbetsstationer har TPM:er, värdstartenheten krypteras med BitLocker och de är anslutna till en särskild organisationsenhet (OU) i Microsofts primära företagsdomän.
Systemhärdning tillämpas via en grupprincip med centraliserad uppdatering av programvara. När det gäller granskning och analys samlas händelseloggar (till exempel säkerhet och AppLocker) in från hanteringsdatorer och sparas på en central plats.
Dessutom används dedikerade hopprutor i Microsofts nätverk som kräver tvåfaktorautentisering för att ansluta till Azures produktionsnätverk.
Checklista för Azure-säkerhet
Genom att minimera antalet uppgifter som administratörer kan utföra på en härdad arbetsstation kan du minimera risken för angrepp i utvecklings- och hanteringsmiljön. Använd följande tekniker för att skydda din härdade dator:
- En webbläsare är en viktig startpunkt för skadlig kod på grund av dess omfattande interaktioner med externa servrar. Granska klientprinciperna och framtvinga körning i skyddat läge, inaktivera tillägg och inaktivera filnedladdningar. Kontrollera att säkerhetsvarningar visas. Dra nytta av Internetzoner och skapa en lista över betrodda platser som du har konfigurerat rimliga härdning för. Blockera alla andra webbplatser och kod i webbläsaren, till exempel ActiveX och Java.
- Standardanvändare. När du kör som en vanlig användare får du ett antal fördelar. Den största är att det blir svårare att stjäla administratörers autentiseringsuppgifter via skadlig kod. Dessutom har ett standardanvändarkonto inte förhöjd behörighet i rotoperativsystemet, och många konfigurationsalternativ och API:er är låsta som standard.
- Kodsignering. Att kodsignera alla verktyg och skript som används av administratörer ger en hanterbar mekanism för att distribuera principer för programlåsning. Hashar skalas inte med snabba ändringar i koden och filsökvägar ger inte en hög säkerhetsnivå. Ange PowerShell-körningsprinciperna för Windows-datorer.
- Grupprincip. Skapa en global administrativ princip som tillämpas på alla domändatorer som används för hantering (och blockera åtkomst från alla andra) samt för användarkonton som autentiseras på datorerna.
- Säkrare etablering. Skydda dig mot manipulation genom att skydda baslinjens härdade datoravbildning. Använd säkerhetsåtgärder som kryptering och isolering för att lagra avbildningar, virtuella datorer och skript och begränsa åtkomsten (till exempel genom att använda en granskningsbar in-/utcheckningsprocess).
- Korrigering. Underhåll en konsekvent version (eller ha separata avbildningar för utveckling, åtgärder och andra administrativa uppgifter), sök efter ändringar och skadlig kod rutinmässigt, håll bygget uppdaterat och aktivera endast datorer när de behövs.
- Styrning. Använd AD DS-grupprincipobjekt för att styra alla administratörers Windows-gränssnitt, till exempel fildelning. Inkludera hanteringsdatorer processerna för granskning, övervakning och loggning. Spåra alla administratörers och utvecklares åtkomst och användning.
Sammanfattning
Genom att använda en härdad datorkonfiguration för administrering av dina Azure-molntjänster, virtuella datorer och program kan du undvika flera risker och hot som kan uppstå när du fjärrhanterar kritiska IT-infrastrukturer. Både Azure och Windows erbjuder funktioner som du kan använda för att skydda och styra beteenden för kommunikation, autentisering och klienten.
Nästa steg
Följande resurser är tillgängliga för att ge mer allmän information om Azure och relaterade Microsoft-tjänster:
- Skydda privilegierad åtkomst – få teknisk information för att utforma och skapa en säker administrativ arbetsstation för Azure-hantering
- Microsoft Trust Center – Lär dig mer om de funktioner i Azure-plattformen som skyddar Azure-strukturen och de arbetsbelastningar som körs på Azure
- Microsoft Security Response Center – där Microsofts säkerhetsrisker, inklusive problem med Azure, kan rapporteras eller via e-post till secure@microsoft.com