Povolení přístupu za běhu na virtuálních počítačích

Postupy
09/06/2024

K ochraně virtuálních počítačů Azure před neoprávněným přístupem k síti můžete použít přístup JIT (Just-in-Time) v programu Microsoft Defender for Cloud. Brány firewall často obsahují pravidla, která opouštějí vaše virtuální počítače zranitelné vůči útokům. JIT umožňuje povolit přístup k virtuálním počítačům jenom v případě, že je potřeba přístup, na potřebných portech a v požadovaném časovém období.

Přečtěte si další informace o tom, jak JIT funguje , a oprávnění potřebná ke konfiguraci a používání JIT.

V tomto článku se dozvíte, jak do programu zabezpečení zahrnout JIT, včetně následujících:

Povolení JIT na virtuálních počítačích z webu Azure Portal nebo prostřednictvím kódu programu
Vyžádání přístupu k virtuálnímu počítači s povoleným JIT z webu Azure Portal nebo prostřednictvím kódu programu
Auditujte aktivitu JIT a ujistěte se, že jsou vaše virtuální počítače správně zabezpečené.

Dostupnost

Aspekt	Detaily
Stav vydání:	Všeobecná dostupnost (GA)
Podporované virtuální počítače:	Virtuální počítače nasazené prostřednictvím Azure Resource Manageru Virtuální počítače nasazené s klasickými modely nasazení Virtuální počítače chráněné službou Azure Firewall ve stejné virtuální síti jako virtuální počítač Virtuální počítače chráněné službou Azure Firewalls řízené službou Azure Firewall Manager Instance AWS EC2 (Preview)
Požadované role a oprávnění:	Čtenář, SecurityReader nebo vlastní role můžou zobrazit stav a parametry JIT. Pokud chcete vytvořit nejméně privilegovanou roli pro uživatele, kteří potřebují pouze požádat o přístup JIT k virtuálnímu počítači, použijte skript Set-JitLeastPrivilegedRole.
Mraky:	Komerční cloudy National (Azure Government, Microsoft Azure provozovaný společností 21Vianet) Připojené účty AWS (Preview)

Požadavky

JIT vyžaduje , aby byl v předplatném povolený Program Microsoft Defender for Servers Plan 2 .
Role Čtenář a SecurityReader můžou zobrazit stav i parametry JIT.

Pokud chcete vytvořit vlastní role, které pracují s JIT, potřebujete podrobnosti z následující tabulky:

Pokud chcete uživateli povolit, aby:	Oprávnění k nastavení
Konfigurace nebo úprava zásad JIT pro virtuální počítač	Přiřaďte roli tyto akce: V rozsahu předplatného (nebo skupiny prostředků při použití pouze rozhraní API nebo PowerShellu) přidruženého k virtuálnímu počítači: `Microsoft.Security/locations/jitNetworkAccessPolicies/write` Rozsah předplatného (nebo skupiny prostředků při použití rozhraní API nebo pouze PowerShellu) virtuálního počítače: `Microsoft.Compute/virtualMachines/write`
Vyžádání přístupu JIT k virtuálnímu počítači	Přiřaďte uživateli tyto akce: `Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action` `Microsoft.Security/locations/jitNetworkAccessPolicies//read` `Microsoft.Compute/virtualMachines/read` `Microsoft.Network/networkInterfaces//read` `Microsoft.Network/publicIPAddresses/read`
Čtení zásad JIT	Přiřaďte uživateli tyto akce: `Microsoft.Security/locations/jitNetworkAccessPolicies/read` `Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action` `Microsoft.Security/policies/read` `Microsoft.Security/pricings/read` `Microsoft.Compute/virtualMachines/read` `Microsoft.Network/*/read`

Poznámka:

Microsoft.Security Pouze oprávnění jsou relevantní pro AWS.

Pokud chcete nastavit JIT na virtuálním počítači Amazon Web Service (AWS), musíte svůj účet AWS připojit ke službě Microsoft Defender for Cloud.

Tip

Pokud chcete vytvořit nejméně privilegovanou roli pro uživatele, kteří potřebují požádat o přístup JIT k virtuálnímu počítači a neprovádět žádné další operace JIT, použijte skript Set-JitLeastPrivilegedRole ze stránek komunity Defenderu pro cloud na GitHubu.

Poznámka:

Aby bylo možné úspěšně vytvořit vlastní zásady JIT, nesmí název zásady společně s cílovým názvem virtuálního počítače překročit celkem 56 znaků.

Práce s přístupem k virtuálnímu počítači JIT pomocí Microsoft Defenderu pro cloud

Defender for Cloud můžete použít nebo můžete programově povolit přístup k virtuálním počítačům JIT s vlastními možnostmi nebo můžete povolit JIT s výchozími pevně zakódovanými parametry z virtuálních počítačů Azure.

Přístup k virtuálním počítačům za běhu zobrazuje vaše virtuální počítače seskupené do:

Nakonfigurováno – Virtuální počítače nakonfigurované tak, aby podporovaly přístup k virtuálním počítačům za běhu a zobrazují se:
- počet schválených žádostí JIT za posledních 7 dnů
- datum a čas posledního přístupu
- nakonfigurované podrobnosti o připojení
- poslední uživatel
Nenakonfigurováno – virtuální počítače bez povolení JIT, ale můžou podporovat JIT. Doporučujeme povolit JIT pro tyto virtuální počítače.
Nepodporované – virtuální počítače, které jit nepodporují, protože:
- Chybějící skupina zabezpečení sítě (NSG) nebo Azure Firewall – JIT vyžaduje konfiguraci skupiny zabezpečení sítě nebo konfiguraci brány firewall (nebo obojí).
- Klasický virtuální počítač – JIT podporuje virtuální počítače nasazené prostřednictvím Azure Resource Manageru. Přečtěte si další informace o klasických a modelech nasazení Azure Resource Manageru.
- Jiné – Řešení JIT je zakázané v zásadách zabezpečení předplatného nebo skupiny prostředků.

Povolení JIT na virtuálních počítačích z Microsoft Defenderu pro cloud

V programu Defender for Cloud můžete povolit a nakonfigurovat přístup k virtuálnímu počítači JIT.

Otevřete ochranu úloh a v rozšířených ochraně vyberte přístup k virtuálním počítačům za běhu.
Na kartě Nenakonfigurované virtuální počítače označte virtuální počítače, které chcete chránit pomocí JIT, a vyberte Povolit JIT na virtuálních počítačích.

Otevře se stránka pro přístup k virtuálnímu počítači JIT se seznamem portů, které Defender for Cloud doporučuje chránit:
- 22 – SSH
- 3389 – RDP
- 5985 – WinRM
- 5986 – WinRM
Přizpůsobení přístupu JIT:
1. Vyberte Přidat.
2. Vyberte jeden z portů v seznamu a upravte ho nebo zadejte jiné porty. Pro každý port můžete nastavit:
  - Protokol – protokol, který je na tomto portu povolen, když je žádost schválena
  - Povolené zdrojové IP adresy – Rozsahy IP adres, které jsou na tomto portu povolené, když je žádost schválena
  - Maximální doba požadavku – maximální časový interval, během kterého lze otevřít konkrétní port
3. Vyberte OK.
Konfiguraci portu uložíte tak, že vyberete Uložit.

Úprava konfigurace JIT na virtuálním počítači s podporou JIT pomocí defenderu pro cloud

Konfiguraci virtuálního počítače za běhu můžete upravit přidáním a konfigurací nového portu pro ochranu virtuálního počítače nebo změnou jakéhokoli jiného nastavení souvisejícího s již chráněným portem.

Úprava existujících pravidel JIT pro virtuální počítač:

Otevřete ochranu úloh a v rozšířených ochraně vyberte přístup k virtuálním počítačům za běhu.
Na kartě Nakonfigurované virtuální počítače klikněte pravým tlačítkem myši na virtuální počítač a vyberte Upravit.
V konfiguraci přístupu k virtuálnímu počítači JIT můžete buď upravit seznam portů, nebo vybrat Přidat nový vlastní port.
Po dokončení úprav portů vyberte Uložit.

Vyžádání přístupu k virtuálnímu počítači s podporou JIT z Microsoft Defenderu pro cloud

Pokud má virtuální počítač povolený JIT, musíte požádat o přístup, abyste se k němu mohli připojit. Přístup můžete požádat v libovolném z podporovaných způsobů bez ohledu na to, jak jste jiT povolili.

Na přístupové stránce virtuálního počítače za běhu vyberte kartu Konfigurace.
Vyberte virtuální počítače, ke které chcete získat přístup:
- Ikona ve sloupci Podrobnosti připojení označuje, jestli je jit povolený ve skupině zabezpečení sítě nebo bráně firewall. Pokud je tato možnost povolená na obou zařízeních, zobrazí se jenom ikona brány firewall.
- Sloupec Podrobnosti připojení zobrazuje uživatele a porty, které mají přístup k virtuálnímu počítači.
Vyberte Požádat o přístup. Otevře se okno Požádat o přístup .
V části Požádat o přístup vyberte porty, které chcete otevřít pro každý virtuální počítač, zdrojové IP adresy, na které chcete port otevřít, a časové okno pro otevření portů.
Vyberte Otevřít porty.

Poznámka:

Pokud je uživatel, který žádá o přístup, za proxy serverem, můžete zadat rozsah IP adres proxy serveru.

Další způsoby práce s přístupem k virtuálním počítačům JIT

Virtuální počítače Azure

Povolení JIT na virtuálních počítačích z virtuálních počítačů Azure

JIT na virtuálním počítači můžete povolit na stránkách virtuálních počítačů Azure na webu Azure Portal.

Tip

Pokud už má virtuální počítač povolený JIT, stránka konfigurace virtuálního počítače ukazuje, že je povolený JIT. Pomocí odkazu můžete otevřít přístupovou stránku virtuálního počítače JIT v Defenderu pro cloud a zobrazit a změnit nastavení.

Na webu Azure Portal vyhledejte a vyberte Virtuální počítače.
Vyberte virtuální počítač, který chcete chránit pomocí JIT.
V nabídce vyberte Možnost Konfigurace.
V části Přístup za běhu vyberte Povolit za běhu.

Ve výchozím nastavení používá přístup za běhu pro virtuální počítač tato nastavení:
- Počítače s Windows
  - Port RDP: 3389
  - Maximální povolený přístup: Tři hodiny
  - Povolené zdrojové IP adresy: Všechny
- Počítače s Linuxem
  - Port SSH: 22
  - Maximální povolený přístup: Tři hodiny
  - Povolené zdrojové IP adresy: Všechny
Pokud chcete upravit některou z těchto hodnot nebo přidat další porty do konfigurace JIT, použijte stránku Microsoft Defenderu for Cloud za běhu:
1. V nabídce Defenderu pro cloud vyberte přístup k virtuálnímu počítači za běhu.
2. Na kartě Konfigurace klikněte pravým tlačítkem na virtuální počítač, do kterého chcete přidat port, a vyberte Upravit.
3. V části Konfigurace přístupu k virtuálním počítačům JIT můžete buď upravit stávající nastavení již chráněného portu, nebo přidat nový vlastní port.
4. Po dokončení úprav portů vyberte Uložit.

Žádost o přístup k virtuálnímu počítači s podporou JIT ze stránky připojení virtuálního počítače Azure

Snímek obrazovky znázorňující požadavek za běhu

Vyžádání přístupu z virtuálních počítačů Azure:

Na webu Azure Portal otevřete stránky virtuálních počítačů.
Vyberte virtuální počítač, ke kterému se chcete připojit, a otevřete stránku Připojit .

Azure zkontroluje, jestli je na tomto virtuálním počítači povolená JIT.
- Pokud pro virtuální počítač není povolený JIT, zobrazí se výzva k jeho povolení.
- Pokud je povolená možnost JIT, vyberte Možnost Požádat o přístup a předejte žádost o přístup s požadovanou IP adresou, časovým rozsahem a porty nakonfigurovanými pro tento virtuální počítač.

Poznámka:

Po schválení žádosti pro virtuální počítač chráněný službou Azure Firewall poskytuje Defender for Cloud uživateli správné podrobnosti o připojení (mapování portů z tabulky DNAT), které se mají použít pro připojení k virtuálnímu počítači.

PowerShell

Povolení JIT na virtuálních počítačích pomocí PowerShellu

Pokud chcete povolit přístup k virtuálním počítačům za běhu z PowerShellu, použijte oficiální rutinu Set-AzJitNetworkAccessPolicyMicrosoft Defenderu pro Cloud PowerShell .

Příklad : Povolení přístupu k virtuálnímu počítači za běhu na konkrétním virtuálním počítači s následujícími pravidly:

Zavření portů 22 a 3389
Nastavení maximálního časového intervalu 3 hodin pro každý z nich, aby bylo možné je otevřít na základě schválené žádosti
Povolit uživateli, který žádá o přístup k řízení zdrojových IP adres
Povolit uživateli, který žádá o přístup, aby na základě schválené žádosti o přístup za běhu vytvořil úspěšnou relaci

Následující příkazy PowerShellu vytvoří tuto konfiguraci JIT:

Přiřaďte proměnnou, která obsahuje pravidla přístupu k virtuálnímu počítači za běhu pro virtuální počítač:

$JitPolicy = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
        number=22;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"},
        @{
        number=3389;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"})})

Vložte pravidla přístupu k virtuálnímu počítači za běhu do pole:
```
$JitPolicyArr=@($JitPolicy)
```
Nakonfigurujte pravidla přístupu k virtuálním počítačům za běhu na vybraném virtuálním počítači:
```
Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
```
K zadání virtuálního počítače použijte parametr -Name. Pokud například chcete vytvořit konfiguraci JIT pro dva různé virtuální počítače, VM1 a VM2, použijte: Set-AzJitNetworkAccessPolicy -Name VM1 a Set-AzJitNetworkAccessPolicy -Name VM2.

Žádost o přístup k virtuálnímu počítači s podporu JIT pomocí PowerShellu

V následujícím příkladu vidíte žádost o přístup k virtuálnímu počítači za běhu pro konkrétní virtuální počítač pro port 22, konkrétní IP adresu a určitou dobu:

V PowerShellu spusťte následující příkazy:

Nakonfigurujte vlastnosti přístupu žádosti o přístup k virtuálnímu počítači:

$JitPolicyVm1 = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
      number=22;
      endTimeUtc="2020-07-15T17:00:00.3658798Z";
      allowedSourceAddressPrefix=@("IPV4ADDRESS")})})

Do pole vložte parametry žádosti o přístup k virtuálnímu počítači:
```
$JitPolicyArr=@($JitPolicyVm1)
```

Odeslání přístupu k žádosti (použití ID prostředku z kroku 1)

Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr

Další informace najdete v dokumentaci k rutinám PowerShellu.

REST API

Povolení JIT na virtuálních počítačích pomocí rozhraní REST API

Funkci přístupu k virtuálním počítačům za běhu je možné použít prostřednictvím rozhraní Microsoft Defender for Cloud API. Toto rozhraní API slouží k získání informací o nakonfigurovaných virtuálních počítačích, přidání nových virtuálních počítačů, vyžádání přístupu k virtuálnímu počítači a další.

Další informace najdete v zásadách přístupu k síti JIT.

Vyžádání přístupu k virtuálnímu počítači s podporou JIT pomocí rozhraní REST API