Povolit včasný přístup

Defender for Servers v Microsoft Defender for Cloud poskytuje funkci přístupu k počítačům v režimu just-in-time.

Microsoft Defender for Cloud můžete použít pro přístup k Azure VM právě včas k ochraně před neoprávněným přístupem k síti. Brány firewall často obsahují povolovací pravidla, která zanechávají vaše virtuální počítače zranitelné vůči útokům. JIT umožňuje povolit přístup k virtuálním počítačům jenom v případě, že je potřeba přístup, na potřebných portech a v požadovaném časovém období.

V tomto článku se dozvíte, jak nastavit a používat přístup typu just-in-time, včetně způsobu, jak:

Povolte just-in-time přístup na virtuálních počítačích z Azure portálu nebo programově.
Vyžádání přístupu k virtuálnímu počítači s povoleným přístupem just-in-time z Azure portálu nebo programově.
Auditujte aktivitu přístupu "just-in-time" a ujistěte se, že jsou vaše virtuální počítače správně zabezpečené.

Požadavky

V předplatném musí být povolený Program Microsoft Defender for Servers Plan 2.
Podporované virtuální počítače: Virtuální počítače nasazené prostřednictvím Azure Resource Manageru, virtuální počítače chráněné bránou Azure Firewall ve stejné virtuální síti jako virtuální počítač, instance AWS EC2 (Preview).
Nepodporované virtuální počítače: Virtuální počítače nasazené s klasickými modely nasazení, virtuální počítače chráněné bránou Azure Firewall, které řídí Azure Firewall Manager.
Pokud chcete nastavit přístup za běhu na virtuálních počítačích AWS, musíte svůj účet AWS připojit ke službě Microsoft Defender for Cloud.
Pokud chcete vytvořit zásadu JIT, nesmí název zásady společně s názvem cílového virtuálního počítače překročit celkem 56 znaků.
Potřebujete oprávnění Čtenář a SecurityReader, nebo můžete použít vlastní roli pro zobrazení stavu a parametrů JIT.
Pro vlastní roli přiřaďte oprávnění souhrnná v tabulce. Pokud chcete vytvořit nejméně privilegovanou roli pro uživatele, kteří potřebují pouze požádat o přístup JIT k virtuálnímu počítači, použijte skriptSet-JitLeastPrivilegedRole.

Akce uživatele	Oprávnění k nastavení
Konfigurace nebo úprava zásad JIT pro virtuální počítač	Přiřaďte tyto akce roli: V rozsahu předplatného (nebo skupiny prostředků při použití pouze rozhraní API nebo PowerShellu) přidruženého k virtuálnímu počítači: `Microsoft.Security/locations/jitNetworkAccessPolicies/write` Rozsah předplatného (nebo skupiny prostředků při použití pouze API nebo PowerShellu) pro virtuální počítač: `Microsoft.Compute/virtualMachines/write`
Vyžádání přístupu JIT k virtuálnímu počítači	Přiřaďte uživateli tyto akce: `Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action` `Microsoft.Security/locations/jitNetworkAccessPolicies//read` `Microsoft.Compute/virtualMachines/read` `Microsoft.Network/networkInterfaces//read` `Microsoft.Network/publicIPAddresses/read`
Čtení zásad JIT	Přiřaďte uživateli tyto akce: `Microsoft.Security/locations/jitNetworkAccessPolicies/read` `Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action` `Microsoft.Security/policies/read` `Microsoft.Security/pricings/read` `Microsoft.Compute/virtualMachines/read` `Microsoft.Network/*/read`

Poznámka:

Microsoft.Security Pouze oprávnění jsou relevantní pro AWS. Pokud chcete vytvořit nejméně privilegovanou roli pro uživatele, kteří potřebují pouze požádat o přístup JIT k virtuálnímu počítači, použijte skript Set-JitLeastPrivilegedRole.

Práce s přístupem k virtuálnímu počítači JIT pomocí Microsoft Defenderu pro cloud

Defender for Cloud můžete použít nebo můžete programově povolit přístup k virtuálním počítačům JIT s vlastními možnostmi nebo můžete povolit JIT s výchozími pevně zakódovanými parametry z virtuálních počítačů Azure.

Přístup k virtuálním počítačům na vyžádání zobrazuje vaše virtuální počítače seskupené do:

Nakonfigurováno – Virtuální počítače nakonfigurované tak, aby podporovaly just-in-time přístup k virtuálním počítačům, a zobrazují se:
- počet schválených žádostí JIT za posledních 7 dnů
- datum a čas posledního přístupu
- nakonfigurované podrobnosti o připojení
- poslední uživatel
Nenakonfigurováno – virtuální počítače bez povolení JIT, ale můžou podporovat JIT. Doporučujeme povolit JIT pro tyto virtuální počítače.
Nepodporované – virtuální počítače, které jit nepodporují, protože:
- Chybějící skupina zabezpečení sítě (NSG) nebo Azure Firewall – JIT vyžaduje konfiguraci skupiny zabezpečení sítě nebo konfiguraci brány firewall (nebo obojí).
- Klasický virtuální počítač – JIT podporuje virtuální počítače nasazené prostřednictvím Azure Resource Manageru.
- Jiné – Řešení JIT je zakázáno v bezpečnostních zásadách předplatného nebo skupiny prostředků.

Povolení JIT na virtuálních počítačích z Microsoft Defenderu pro cloud

V programu Defender for Cloud můžete povolit a nakonfigurovat přístup k virtuálnímu počítači JIT.

Otevřete ochranu úloh a v rozšířených ochraně vyberte přístup k virtuálním počítačům za běhu.
Na kartě Nenakonfigurované virtuální počítače označte virtuální počítače, které chcete chránit pomocí JIT, a vyberte Povolit JIT na virtuálních počítačích.

Otevře se stránka pro přístup k virtuálnímu počítači JIT se seznamem portů, které Defender for Cloud doporučuje chránit:
- 22 – SSH
- 3389 – RDP
- 5985 – WinRM
- 5986 – WinRM
Přizpůsobení přístupu JIT:
1. Vyberte Přidat.
2. Vyberte jeden z portů v seznamu a upravte ho nebo zadejte jiné porty. Pro každý port můžete nastavit:
  - Protocol
  - Povolené zdrojové IP adresy
  - Maximální doba žádosti
3. Vyberte OK.
Konfiguraci portu uložíte tak, že vyberete Uložit.

Úprava konfigurace JIT na virtuálním počítači s podporou JIT pomocí defenderu pro cloud

Konfiguraci virtuálního počítače za běhu můžete upravit přidáním a konfigurací nového portu pro ochranu virtuálního počítače nebo změnou jakéhokoli jiného nastavení souvisejícího s již chráněným portem.

Úprava existujících pravidel JIT pro virtuální počítač:

Otevřete ochranu úloh a v rozšířených ochraně vyberte přístup k virtuálním počítačům za běhu.
Na kartě Nakonfigurované virtuální počítače klikněte pravým tlačítkem myši na virtuální počítač a vyberte Upravit.
V konfiguraci přístupu k virtuálnímu počítači JIT můžete buď upravit seznam portů, nebo vybrat Přidat nový vlastní port.
Po dokončení úprav portů vyberte Uložit.

Vyžádání přístupu k virtuálnímu počítači s podporou JIT z Microsoft Defenderu pro cloud

Pokud má virtuální počítač povolený JIT, musíte požádat o přístup, abyste se k němu mohli připojit. Přístup můžete požádat v libovolném z podporovaných způsobů bez ohledu na to, jak jste jiT povolili.

Na stránce přístupu k virtuálnímu počítači Just-in-time vyberte kartu Konfigurováno.
Vyberte virtuální počítače, ke které chcete získat přístup.
- Ikona ve sloupci Podrobnosti připojení označuje, jestli je JIT povolený v síťové bezpečnostní skupině nebo bráně firewall. Pokud je tato možnost povolená na obou zařízeních, zobrazí se jenom ikona brány firewall.
- Sloupec Podrobnosti připojení zobrazuje uživatele a porty, které mají přístup k virtuálnímu počítači.
Vyberte Požádat o přístup. Otevře se okno Požádat o přístup .
V části Požádat o přístup vyberte porty, které chcete otevřít pro každý virtuální počítač, zdrojové IP adresy, na které chcete port otevřít, a časové okno pro otevření portů.
Vyberte Otevřít porty.

Poznámka:

Pokud je uživatel, který žádá o přístup, za proxy serverem, můžete zadat rozsah IP adres proxy serveru.

Další způsoby práce s přístupem k virtuálním počítačům JIT

Virtuální počítače Azure

Povolení JIT na virtuálních počítačích z virtuálních počítačů Azure

JIT na virtuálním počítači můžete povolit na stránkách virtuálních počítačů Azure na webu Azure Portal.

Návod

Pokud už má virtuální počítač povolený JIT, stránka konfigurace virtuálního počítače ukazuje, že je povolený JIT. Pomocí odkazu můžete otevřít přístupovou stránku virtuálního počítače JIT v Defenderu pro cloud a zobrazit a změnit nastavení.

Na webu Azure Portal vyhledejte a vyberte Virtuální počítače.
Vyberte virtuální počítač, který chcete chránit pomocí JIT.
V nabídce vyberte Možnost Konfigurace.
V části Přístup za běhu vyberte Povolit přístup za běhu.

Ve výchozím nastavení používá just-in-time přístup pro virtuální počítač tato nastavení:
- Počítače s Windows:
  - Port RDP: 3389
  - Maximální povolený přístup: 3 hodiny
  - Povolené zdrojové IP adresy: Všechny
- Počítače s Linuxem:
  - Port SSH: 22
  - Maximální povolený přístup: 3 hodiny
  - Povolené zdrojové IP adresy: Všechny
Pokud chcete upravit některou z těchto hodnot nebo přidat další porty do konfigurace JIT, použijte stránku Microsoft Defenderu for Cloud za běhu:
1. V nabídce Defenderu pro Cloud vyberte přístup k virtuálnímu počítači jen v potřebnou chvíli.
2. Na kartě Konfigurace klikněte pravým tlačítkem na virtuální počítač, do kterého chcete přidat port, a vyberte Upravit.
3. V části Konfigurace přístupu k virtuálním počítačům JIT můžete buď upravit stávající nastavení již chráněného portu, nebo přidat nový vlastní port.
4. Po dokončení úprav portů vyberte Uložit.

Žádost o přístup k virtuálnímu počítači s podporou JIT ze stránky připojení virtuálního počítače Azure

Snímek obrazovky s žádostí o přístup k virtuálnímu počítači za běhu zobrazující vybrané porty a dobu trvání přístupu

Vyžádání přístupu z virtuálních počítačů Azure:

Na webu Azure Portal otevřete stránky virtuálních počítačů.
Vyberte virtuální počítač, ke kterému se chcete připojit, a otevřete stránku Připojit .

Azure zkontroluje, jestli je na tomto virtuálním počítači povolená JIT.
- Pokud pro virtuální počítač není povolený JIT, zobrazí se výzva k jeho povolení.
- Pokud je povolená možnost JIT, vyberte Možnost Požádat o přístup a předejte žádost o přístup s požadovanou IP adresou, časovým rozsahem a porty nakonfigurovanými pro tento virtuální počítač.

Poznámka:

Po schválení žádosti pro virtuální počítač chráněný službou Azure Firewall poskytuje Defender for Cloud uživateli správné podrobnosti o připojení (mapování portů z tabulky DNAT), které se mají použít pro připojení k virtuálnímu počítači.

PowerShell

Povolení JIT na virtuálních počítačích pomocí PowerShellu

Pokud chcete povolit přístup k virtuálním počítačům za běhu z PowerShellu, použijte oficiální rutinu Set-AzJitNetworkAccessPolicyMicrosoft Defenderu pro Cloud PowerShell .

Příklad - Povolení přístupu k virtuálnímu počítači typu just-in-time s následujícími pravidly:

Zavření portů 22 a 3389
Nastavení maximálního časového intervalu 3 hodin pro každý z nich, aby bylo možné je otevřít na základě schválené žádosti
Umožnit uživateli, který žádá o přístup, kontrolu nad zdrojovými IP adresami
Povolit uživateli, který žádá o přístup, vytvořit úspěšnou relaci na základě schválené žádosti o přístup typu just-in-time.

Následující příkazy PowerShellu vytvoří tuto konfiguraci JIT:

Přiřaďte proměnnou, která obsahuje pravidla pro just-in-time přístup k virtuálnímu počítači.

$JitPolicy = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
        number=22;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"},
        @{
        number=3389;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"})})

Vložte pravidla přístupu k virtuálnímu počítači just-in-time do pole:
```
$JitPolicyArr=@($JitPolicy)
```
Nakonfigurujte pravidla přístupu k virtuálním počítačům s just-in-time na vybraném virtuálním stroji:
```
Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
```
K zadání virtuálního počítače použijte parametr -Name. Pokud například chcete vytvořit konfiguraci JIT pro dva různé virtuální počítače, VM1 a VM2, použijte: Set-AzJitNetworkAccessPolicy -Name VM1 a Set-AzJitNetworkAccessPolicy -Name VM2.

Vyžádání přístupu k virtuálnímu počítači s podporou JIT pomocí PowerShellu

V následujícím příkladu vidíte žádost o přístup k určitému virtuálnímu počítači v reálném čase pro port 22, konkrétní IP adresu a na určitou dobu.

V PowerShellu spusťte následující příkazy:

Konfigurace vlastností přístupu k žádostem o přístup k virtuálnímu počítači:

$JitPolicyVm1 = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
        number=22;
        endTimeUtc="2020-07-15T17:00:00.3658798Z";
        allowedSourceAddressPrefix=@("IPV4ADDRESS")})})

Do pole vložte parametry žádosti o přístup k virtuálnímu počítači:
```
$JitPolicyArr=@($JitPolicyVm1)
```

Odešlete žádost o přístup (použijte ID prostředku z kroku 1)

Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr

Další informace najdete v dokumentaci k rutinám PowerShellu.

REST API

Povolení JIT na virtuálních počítačích pomocí rozhraní REST API

Funkci přístupu k virtuálním počítačům za běhu je možné použít prostřednictvím rozhraní Microsoft Defender for Cloud API. Toto rozhraní API slouží k získání informací o nakonfigurovaných virtuálních počítačích, přidání nových virtuálních počítačů, vyžádání přístupu k virtuálnímu počítači a další.

Další informace najdete v zásadách přístupu k síti JIT.

Vyžádání přístupu k virtuálnímu počítači s podporou JIT pomocí rozhraní REST API