تمكين الوصول في الوقت المناسب على الأجهزة الظاهرية

الكيفية
10/01/2023

يمكنك استخدام وصول Microsoft Defender for Cloud في الوقت المناسب (JIT) لحماية أجهزة Azure الظاهرية (VMs) من الوصول غير المصرح به إلى الشبكة. تحتوي جدران الحماية في كثير من الأحيان على قواعد السماح التي تترك الأجهزة الظاهرية عرضة للهجوم. يتيح لك JIT السماح بالوصول إلى الأجهزة الظاهرية الخاصة بك فقط عند الحاجة إلى الوصول، وعلى المنافذ المطلوبة، وللفترة الزمنية المطلوبة.

تعرف على المزيد حول كيفية عمل JIT والأذونات المطلوبة لتكوين واستخدام JIT.

في هذه المقالة، ستتعلم كيفية تضمين JIT في برنامج الأمان الخاص بك، بما في ذلك كيفية:

تمكين JIT على الأجهزة الظاهرية من مدخل Microsoft Azure أو برمجيا
طلب الوصول إلى جهاز ظاهري تم تمكين JIT به من مدخل Microsoft Azure أو برمجيا
تدقيق نشاط JIT للتأكد من تأمين الأجهزة الظاهرية بشكل مناسب

التوافر

الجانب	التفاصيل
حالة الإصدار:	التوافر العام (GA)
الأجهزة الظاهرية المدعومة:	الأجهزة الظاهرية المنشورة من خلال Azure Resource Manager الأجهزة الظاهرية المنشورة مع نماذج التوزيع الكلاسيكية الأجهزة الظاهرية المحمية بواسطة جدران حماية Azure على نفس VNET مثل الجهاز الظاهري الأجهزة الظاهرية المحمية بواسطة Azure Firewalls التي يتحكم فيها Azure Firewall Manager مثيلات AWS EC2 (معاينة)
الأدوار والأذونات المطلوبة:	يمكن للقارئ أو SecurityReader أو دور مخصص عرض حالة ومعلمات JIT. لإنشاء دور أقل امتيازا للمستخدمين الذين يحتاجون فقط إلى طلب وصول JIT إلى جهاز ظاهري، استخدم البرنامج النصي Set-JitLeastPrivilegedRole.
سحابات:	السحابات التجارية National (Azure Government، Microsoft Azure المشغل بواسطة 21Vianet) حسابات AWS الاتصال (معاينة)

المتطلبات الأساسية

يتطلب JIT تمكين Microsoft Defender for Servers الخطة 2 على الاشتراك.
يمكن للأدوارReader وSecurityReader عرض حالة JIT والمعلمات.

إذا كنت ترغب في إنشاء أدوار مخصصة تعمل مع JIT، فأنت بحاجة إلى التفاصيل من الجدول التالي:

لتمكين المستخدم من:	أذونات لتعيين
تكوين أو تحرير نهج JIT لجهاز ظاهري	عيّن هذه الإجراءات للدور: في نطاق اشتراك (أو مجموعة موارد عند استخدام API أو PowerShell فقط) المقترن بالجهاز الظاهري: `Microsoft.Security/locations/jitNetworkAccessPolicies/write` في نطاق اشتراك (أو مجموعة موارد عند استخدام API أو PowerShell فقط) من الجهاز الظاهري: `Microsoft.Compute/virtualMachines/write`
طلب وصول JIT إلى VM	عيّن هذه الإجراءات للمستخدم: `Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action` `Microsoft.Security/locations/jitNetworkAccessPolicies//read` `Microsoft.Compute/virtualMachines/read` `Microsoft.Network/networkInterfaces//read` `Microsoft.Network/publicIPAddresses/read`
اقرأ نُهج JIT	عيّن هذه الإجراءات للمستخدم: `Microsoft.Security/locations/jitNetworkAccessPolicies/read` `Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action` `Microsoft.Security/policies/read` `Microsoft.Security/pricings/read` `Microsoft.Compute/virtualMachines/read` `Microsoft.Network/*/read`

إشعار

فقط أذونات Microsoft.Security ذات الصلة بـ AWS.

لإعداد JIT على جهاز Amazon Web Service (AWS) الظاهري، تحتاج إلى توصيل حساب AWS الخاص بك ب Microsoft Defender for Cloud.

تلميح

لإنشاء الدور الأقل امتيازاً للمستخدمين الذين يحتاجون إلى طلب وصول JIT إلى جهاز ظاهري، وعدم إجراء أي عمليات JIT أخرى، استخدم البرنامج النصي Set-JitLeastPrivilegedRole من صفحات مجتمع Defender for Cloud GitHub.

إشعار

لإنشاء نهج JIT مخصص بنجاح، يجب ألا يتجاوز اسم النهج، بالإضافة إلى اسم الجهاز الظاهري المستهدف، إجمالي 56 حرفا.

العمل مع الوصول إلى الجهاز الظاهري ل JIT باستخدام Microsoft Defender for Cloud

يمكنك استخدام Defender for Cloud أو يمكنك تمكين الوصول إلى الجهاز الظاهري ل JIT برمجيا باستخدام خياراتك المخصصة، أو يمكنك تمكين JIT باستخدام معلمات افتراضية ذات تعليمات برمجية مضمنة من أجهزة Azure الظاهرية.

يظهر الوصول إلى الجهاز الظاهري في الوقت المناسب الأجهزة الظاهرية المجمعة في:

تم التكوين - تم تكوين الأجهزة الظاهرية لدعم الوصول إلى الجهاز الظاهري في الوقت المناسب، ويظهر:
- عدد طلبات JIT المعتمدة في الأيام السبعة الماضية
- آخر تاريخ ووقت وصول
- تفاصيل الاتصال التي تم تكوينها
- المستخدم الأخير
غير مكون - الأجهزة الظاهرية دون تمكين JIT، ولكن يمكن أن يدعم JIT. نوصي بتمكين JIT لهذه الأجهزة الظاهرية.
غير مدعوم - الأجهزة الظاهرية التي لا تدعم JIT بسبب:
- مجموعة أمان الشبكة المفقودة (NSG) أو Azure Firewall - يتطلب JIT تكوين NSG أو تكوين جدار حماية (أو كليهما)
- يدعم الجهاز الظاهري الكلاسيكي - JIT الأجهزة الظاهرية التي يتم نشرها من خلال Azure Resource Manager. تعرف على المزيد حول نماذج توزيع Resource Manager الكلاسيكية مقابل Azure.
- أخرى - يتم تعطيل حل JIT في نهج الأمان للاشتراك أو مجموعة الموارد.

تمكين JIT على الأجهزة الظاهرية من Microsoft Defender for Cloud

من Defender for Cloud، يمكنك تمكين وتكوين الوصول إلى الجهاز الظاهري ل JIT.

افتح Workload protections ، وفي الحماية المتقدمة، حدد Just-in-time VM access.
في علامة التبويب الأجهزة الظاهرية غير المكونة ، ضع علامة على الأجهزة الظاهرية للحماية باستخدام JIT وحدد تمكين JIT على الأجهزة الظاهرية.

تفتح صفحة الوصول إلى الجهاز الظاهري ل JIT سرد المنافذ التي يوصي Defender for Cloud بحمايتها:
- 22 - SSH
- 3389 - RDP
- 5985 - WinRM
- 5986 - WinRM
لتخصيص الوصول إلى JIT:
1. حدد إضافة.
2. حدد أحد المنافذ في القائمة لتحريره أو إدخال منافذ أخرى. لكل منفذ، يمكنك تعيين:
  - البروتوكول - البروتوكول المسموح به على هذا المنفذ عند الموافقة على طلب
  - عناوين IP المصدر المسموح بها - نطاقات IP المسموح بها على هذا المنفذ عند الموافقة على طلب
  - الحد الأقصى لوقت الطلب - الحد الأقصى لنافذة الوقت التي يمكن خلالها فتح منفذ معين
3. حدد موافق.
لحفظ تكوين المنفذ، حدد حفظ.

تحرير تكوين JIT على جهاز ظاهري بواسطة JIT باستخدام Defender for Cloud

يمكنك تعديل تكوين الجهاز الظاهري في الوقت المناسب عن طريق إضافة منفذ جديد وتكوينه للحماية لهذا الجهاز الظاهري، أو عن طريق تغيير أي إعداد آخر متعلق بمنفذ محمي بالفعل.

لتحرير قواعد JIT الحالية لجهاز ظاهري:

افتح Workload protections ، وفي الحماية المتقدمة، حدد Just-in-time VM access.
في علامة التبويب Configured virtual machines، انقر بزر الماوس الأيمن فوق VM وحدد Edit.
في تكوين الوصول إلى الجهاز الظاهري في الوقت المحدد، يمكنك إما تحرير قائمة المنفذ أو تحديد إضافة منفذ مخصص جديد.
عند الانتهاء من تحرير المنافذ، حدد حفظ.

طلب الوصول إلى جهاز ظاهري ممكن بواسطة JIT من Microsoft Defender for Cloud

عندما يكون لدى الجهاز الظاهري JIT ممكن، يجب عليك طلب الوصول للاتصال به. يمكنك طلب الوصول بأي من الطرق المدعومة، بغض النظر عن كيفية تمكين JIT.

من صفحة الوصول إلى الجهاز الظاهري في الوقت المناسب، حدد علامة التبويب تكوين.
حدد الأجهزة الظاهرية التي تريد الوصول إليها:
- تشير الأيقونة الموجودة في عمود تفاصيل الاتصال إلى ما إذا تم تمكين JIT على مجموعة أمان الشبكة أو جدار الحماية. إذا تم تمكينه على كليهما، فستظهر أيقونة جدار الحماية فقط.
- يظهر عمود تفاصيل الاتصال ion المستخدم والمنافذ التي يمكنها الوصول إلى الجهاز الظاهري.
حدد Request access. يتم فتح نافذة طلب الوصول.
ضمن طلب الوصول، حدد المنافذ التي تريد فتحها لكل جهاز ظاهري، وعناوين IP المصدر التي تريد فتح المنفذ عليها، والنافذة الزمنية لفتح المنافذ.
حدد فتح المنافذ.

إشعار

إذا كان المستخدم الذي يطلب الوصول خلف وكيل، يمكنك إدخال نطاق عنوان IP للوكيل.

طرق أخرى للعمل مع الوصول إلى الجهاز الظاهري ل JIT

الأجهزة الظاهرية لدى Azure

تمكين JIT على الأجهزة الظاهرية من أجهزة Azure الظاهرية

يمكنك تمكين JIT على جهاز ظاهري من صفحات أجهزة Azure الظاهرية في مدخل Microsoft Azure.

تلميح

إذا كان الجهاز الظاهري قد تم تمكين JIT بالفعل، تظهر صفحة تكوين الجهاز الظاهري تمكين JIT. يمكنك استخدام الارتباط لفتح صفحة الوصول إلى الجهاز الظاهري JIT في Defender for Cloud لعرض الإعدادات وتغييرها.

من ⁧⁩مدخل Azure⁧⁩، ابحث عن ⁧⁩الأجهزة الظاهرية⁧⁩ وحددها.
حدد الجهاز الظاهري الذي تريد حمايته باستخدام JIT.
في القائمة، حدد تكوين.
ضمن الوصول في الوقت المناسب، حدد تمكين في الوقت المناسب.

بشكل افتراضي، يستخدم الوصول في الوقت المناسب للجهاز الظاهري هذه الإعدادات:
- أجهزة Windows
  - منفذ RDP: 3389
  - الحد الأقصى للوصول المسموح به: ثلاث ساعات
  - عناوين IP المصدر المسموح بها: أي
- أجهزة Linux
  - منفذ SSH: 22
  - الحد الأقصى للوصول المسموح به: ثلاث ساعات
  - عناوين IP المصدر المسموح بها: أي
لتحرير أي من هذه القيم أو إضافة المزيد من المنافذ إلى تكوين JIT، استخدم صفحة Microsoft Defender for Cloud في الوقت المناسب:
1. من قائمة Defender for Cloud، حدد الوصول إلى الجهاز الظاهري في الوقت المناسب.
2. من علامة التبويب تكوين، انقر بزر الماوس الأيمن فوق الجهاز الظاهري الذي تريد إضافة منفذ إليه، وحدد تحرير.
3. ضمن تكوين الوصول إلى الجهاز الظاهري ل JIT، يمكنك إما تحرير الإعدادات الموجودة لمنفذ محمي بالفعل أو إضافة منفذ مخصص جديد.
4. عند الانتهاء من تحرير المنافذ، حدد حفظ.

طلب الوصول إلى جهاز ظاهري ممكن بواسطة JIT من صفحة اتصال الجهاز الظاهري Azure

لقطة شاشة تعرض طلب jit في الوقت المناسب.

لطلب الوصول من أجهزة Azure الظاهرية:

في مدخل Microsoft Azure، افتح صفحات الأجهزة الظاهرية.
حدد الجهاز الظاهري الذي تريد الاتصال به، وافتح صفحة الاتصال.

يتحقق Azure لمعرفة ما إذا تم تمكين JIT على هذا الجهاز الظاهري.
- إذا لم يتم تمكين JIT للجهاز الظاهري، فستتم مطالبتك بتمكينه.
- إذا تم تمكين JIT، فحدد طلب الوصول لتمرير طلب وصول باستخدام IP المطلوب والنطاق الزمني والمنافذ التي تم تكوينها لهذا الجهاز الظاهري.

إشعار

بعد الموافقة على طلب لجهاز ظاهري محمي بواسطة جدار حماية Azure، يوفر Defender for Cloud للمستخدم تفاصيل الاتصال المناسبة (تعيين المنفذ من جدول DNAT) لاستخدامه للاتصال بالجهاز الظاهري.

PowerShell

تمكين JIT على أجهزة VMs باستخدام PowerShell

لتمكين الوصول إلى الجهاز الظاهري في الوقت المناسب من PowerShell، استخدم Microsoft Defender for Cloud PowerShell cmdlet Set-AzJitNetworkAccessPolicyالرسمي.

مثال - تمكين الوصول إلى الجهاز الظاهري في الوقت المناسب على جهاز ظاهري معين باستخدام القواعد التالية:

إغلاق المنفذين 22 و3389
تعيين نافذة زمنية قصوى تبلغ 3 ساعات لكل منها بحيث يمكن فتحها لكل طلب تمت الموافقة عليه
السماح للمستخدم الذي يطلب الوصول للتحكم في عناوين IP المصدر
السماح للمستخدم الذي يطلب الوصول بإنشاء جلسة عمل ناجحة بناء على طلب وصول تمت الموافقة عليه في الوقت المناسب

تنشئ أوامر PowerShell التالية تكوين JIT هذا:

تعيين متغير يحتوي على قواعد الوصول إلى الجهاز الظاهري في الوقت المناسب للجهاز الظاهري:

$JitPolicy = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
        number=22;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"},
        @{
        number=3389;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"})})

إدراج قواعد الوصول إلى الجهاز الظاهري في الوقت المناسب في صفيف:
```
$JitPolicyArr=@($JitPolicy)
```
تكوين قواعد الوصول إلى الجهاز الظاهري في الوقت المناسب على الجهاز الظاهري المحدد:
```
Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
```
استخدم المعلمة -Name لتحديد جهاز ظاهري. على سبيل المثال، لإنشاء تكوين JIT لجهازين ظاهريين مختلفين، VM1 وVM2، استخدم: Set-AzJitNetworkAccessPolicy -Name VM1 و Set-AzJitNetworkAccessPolicy -Name VM2.

طلب الوصول إلى جهاز ظاهري ممكن بواسطة JIT باستخدام PowerShell

في المثال التالي، يمكنك مشاهدة طلب وصول الجهاز الظاهري في الوقت المناسب إلى جهاز ظاهري معين للمنفذ 22، ولعنوان IP محدد، ولمقدار معين من الوقت:

شغّل الأوامر التالية في "PowerShell":

تكوين خصائص الوصول إلى طلب الجهاز الظاهري:

$JitPolicyVm1 = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
      number=22;
      endTimeUtc="2020-07-15T17:00:00.3658798Z";
      allowedSourceAddressPrefix=@("IPV4ADDRESS")})})

إدراج معلمات طلب الوصول إلى الجهاز الظاهري في صفيف:
```
$JitPolicyArr=@($JitPolicyVm1)
```

إرسال الوصول إلى الطلب (استخدم معرف المورد من الخطوة 1)

Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr

تعرف على المزيد في وثائق PowerShell cmdlet.

واجهة برمجة تطبيقات REST

تمكين JIT على الأجهزة الظاهرية باستخدام واجهة برمجة تطبيقات REST

يمكن استخدام ميزة الوصول إلى الجهاز الظاهري في الوقت المناسب عبر واجهة برمجة تطبيقات Microsoft Defender for Cloud. استخدم واجهة برمجة التطبيقات هذه للحصول على معلومات حول الأجهزة الظاهرية المكونة، وإضافة أجهزة جديدة، وطلب الوصول إلى جهاز ظاهري، والمزيد.

تعرف على المزيد في نهج الوصول إلى شبكة JIT.

طلب الوصول إلى جهاز ظاهري يدعم JIT باستخدام واجهة برمجة تطبيقات REST