Felügyeleti portok védelme igény szerinti hozzáféréssel

Cikk
02/11/2023
8 perc alatt elolvasható

A Microsoft Defender használatával megvédheti azure-beli virtuális gépeit a jogosulatlan hálózati hozzáféréstől a felhő igény szerinti (JIT) hozzáféréséhez. A tűzfalak gyakran tartalmaznak olyan engedélyezési szabályokat, amelyek sebezhetővé teszik a virtuális gépeket a támadásokkal szemben. A JIT lehetővé teszi, hogy csak akkor engedélyezze a virtuális gépekhez való hozzáférést, ha a hozzáférés szükséges, a szükséges portokon és a szükséges ideig.

További információ a JIT működéséről , valamint a JIT konfigurálásához és használatához szükséges engedélyekről.

Ebből a cikkből megtudhatja, hogyan vegye fel a JIT-t a biztonsági programba, többek között a következőket:

A JIT engedélyezése a virtuális gépeken a Azure Portal vagy programozott módon
Hozzáférés kérése olyan virtuális géphez, amelynél a JIT engedélyezve van a Azure Portal vagy programozott módon
A JIT-tevékenység naplózása a virtuális gépek megfelelő biztonságossá tétele érdekében

Rendelkezésre állás

Szempont	Részletek
Kiadási állapot:	Általános rendelkezésre állás (GA)
Támogatott virtuális gépek:	Az Azure Resource Manager keresztül üzembe helyezett virtuális gépek Klasszikus üzemi modellekkel üzembe helyezett virtuális gépek Az Azure Firewall által védett virtuális gépek ugyanazon a virtuális hálózaton, mint a virtuális gép A Azure Firewall Manager által felügyelt Azure Firewall által védett virtuális gépek AWS EC2-példányok (előzetes verzió)
Szükséges szerepkörök és engedélyek:	Az olvasó, a SecurityReader vagy egy egyéni szerepkör megtekintheti a JIT állapotát és paramétereit. Ha olyan felhasználók számára szeretne minimális jogosultsági szintű szerepkört létrehozni, amelyeknek csak JIT-hozzáférést kell kérniük egy virtuális géphez, használja a Set-JitLeastPrivilegedRole szkriptet.
Felhők:	Kereskedelmi felhők Nemzeti (Azure Government, Azure China 21Vianet) Csatlakoztatott AWS-fiókok (előzetes verzió)

JIT-alapú virtuálisgép-hozzáférés használata a felhőhöz készült Microsoft Defender használatával

Használhatja a Felhőhöz készült Defendert, vagy programozott módon engedélyezheti a JIT virtuális gépekhez való hozzáférést a saját egyéni beállításaival, vagy engedélyezheti a JIT-t az Azure-beli virtuális gépek alapértelmezett, kemény kóddal ellátott paramétereivel.

Az igény szerint történő virtuálisgép-hozzáférés a következő csoportba csoportosítva jeleníti meg a virtuális gépeket:

Konfigurálva – A virtuális gépek igény szerint történő hozzáférésének támogatására konfigurált virtuális gépek, és az alábbiakat jeleníti meg:
- az elmúlt hét napban jóváhagyott JIT-kérelmek száma
- az utolsó hozzáférési dátum és időpont
- a konfigurált kapcsolat részletei
- az utolsó felhasználó
Nincs konfigurálva – A JIT-t nem engedélyező virtuális gépek, amelyek támogatják a JIT-t. Javasoljuk, hogy engedélyezze a JIT-t ezekhez a virtuális gépekhez.
Nem támogatott – azok a virtuális gépek, amelyek nem támogatják a JIT-t, mert:
- Hiányzó hálózati biztonsági csoport (NSG) vagy Azure Firewall – A JIT használatához NSG-t vagy tűzfalkonfigurációt (vagy mindkettőt) kell konfigurálni
- Klasszikus virtuális gép – A JIT az Azure Resource Manager keresztül üzembe helyezett virtuális gépeket támogatja. További információ a klasszikus és az Azure Resource Manager üzembehelyezési modellekről.
- Egyéb – A JIT-megoldás le van tiltva az előfizetés vagy az erőforráscsoport biztonsági szabályzatában.

JIT engedélyezése a virtuális gépeken a Microsoft Defender for Cloudból

Képernyőkép a JIT virtuális gépek hozzáférésének konfigurálásáról a Microsoft Defender for Cloudban.

A Felhőhöz készült Defenderben engedélyezheti és konfigurálhatja a JIT virtuálisgép-hozzáférést.

Nyissa meg a Számítási feladatok védelmét , és a speciális védelemben válassza az Igény szerint virtuálisgép-hozzáférés lehetőséget.
A Nincs konfigurált virtuális gépek területen jelölje meg a virtuális gépeket a JIT-vel való védelemhez, és válassza a JIT engedélyezése a virtuális gépeken lehetőséget.

Megnyílik a JIT virtuális gépek hozzáférési lapja, amely felsorolja azokat a portokat, amelyeket a Defender for Cloud védelmet javasol:
- 22 – SSH
- 3389 – RDP
- 5985 – WinRM
- 5986 – WinRM
A JIT-hozzáférés testreszabása:
1. Válassza a Hozzáadás lehetőséget.
2. Válassza ki a lista egyik portját a szerkesztéshez, vagy adjon meg más portokat. Minden porthoz beállíthatja a következőt:
  - Protokoll – Az a protokoll, amely a kérelem jóváhagyásakor engedélyezett ezen a porton
  - Engedélyezett forrás IP-címek – Az ezen a porton engedélyezett IP-címtartományok a kérés jóváhagyásakor
  - Maximális kérelemidő – Az a maximális időtartam, amely alatt egy adott port megnyitható
3. Válassza az OK lehetőséget.
A portkonfiguráció mentéséhez válassza a Mentés lehetőséget.

JIT-konfiguráció szerkesztése JIT-kompatibilis virtuális gépen a Defender for Cloud használatával

A virtuális gép igény szerinti konfigurációját úgy módosíthatja, hogy hozzáad és konfigurál egy új portot a virtuális gép védelméhez, vagy módosítja a már védett porthoz kapcsolódó egyéb beállításokat.

A virtuális gép meglévő JIT-szabályainak szerkesztése:

Nyissa meg a Számítási feladatok védelmét , és a speciális védelemben válassza az Igény szerint virtuálisgép-hozzáférés lehetőséget.
A Konfigurált virtuális gépek területen kattintson a jobb gombbal egy virtuális gépre, és válassza a szerkesztés lehetőséget.
A JIT virtuális gép hozzáférési konfigurációjában szerkesztheti a portok listáját, vagy kiválaszthatja az Új egyéni port hozzáadása lehetőséget.
Amikor befejezte a portok szerkesztését, válassza a Mentés lehetőséget.

Hozzáférés kérése JIT-kompatibilis virtuális géphez a Microsoft Defender for Cloudtól

Ha egy virtuális gépen engedélyezve van a JIT, hozzáférést kell kérnie a csatlakozáshoz. A JIT engedélyezésének módjától függetlenül a támogatott módok bármelyikén kérhet hozzáférést.

A Just-in-time virtuálisgép-hozzáférési lapon válassza a Konfigurált lapot.
Válassza ki a elérni kívánt virtuális gépeket.
- A Kapcsolat részletei oszlop ikonja jelzi, hogy a JIT engedélyezve van-e a hálózati biztonsági csoportban vagy tűzfalon. Ha mindkettőn engedélyezve van, csak a tűzfal ikon jelenik meg.
- A Kapcsolat részletei oszlopban a virtuális géphez hozzáférő felhasználó és portok láthatók.
Válassza a Hozzáférés kérése lehetőséget. Megnyílik a Hozzáférés kérése ablak.
A Hozzáférés kérése területen válassza ki az egyes virtuális gépekhez megnyitni kívánt portokat, a forrás IP-címeket, amelyeken meg szeretné nyitni a portot, valamint az időablakot a portok megnyitásához.
Válassza a Portok megnyitása lehetőséget.

Megjegyzés

Ha egy hozzáférést kérő felhasználó proxy mögött található, megadhatja a proxy IP-címtartományát.

A JIT virtuális gépek hozzáférésének egyéb módjai

Azure-beli virtuális gépek

A JIT engedélyezése a virtuális gépeken az Azure-beli virtuális gépekről

A JIT-t a virtuális gépeken a Azure Portal Azure-beli virtuális gépek oldalain engedélyezheti.

Tipp

Ha egy virtuális gépen már engedélyezve van a JIT, a virtuális gép konfigurációs oldalán látható, hogy a JIT engedélyezve van. A hivatkozással megnyithatja a JIT virtuális gépek hozzáférési oldalát a Defender for Cloudban a beállítások megtekintéséhez és módosításához.

A Azure Portal keresse meg és válassza ki a Virtuális gépek elemet.
Válassza ki a JIT-vel védeni kívánt virtuális gépet.
A menüben válassza a Konfiguráció lehetőséget.
Az Igény szerinti hozzáférés területen válassza az Igény szerinti hozzáférés engedélyezése lehetőséget.

Alapértelmezés szerint a virtuális géphez való igény szerinti hozzáférés a következő beállításokat használja:
- Windows rendszerű gépek
  - RDP-port: 3389
  - Maximálisan engedélyezett hozzáférés: három óra
  - Engedélyezett forrás IP-címek: Bármely
- Linux rendszerű gépek
  - SSH-port: 22
  - Maximálisan engedélyezett hozzáférés: három óra
  - Engedélyezett forrás IP-címek: Bármely
Ha ezen értékek bármelyikét szerkeszteni szeretné, vagy további portokat szeretne hozzáadni a JIT-konfigurációhoz, használja a Microsoft Defender a Cloud igény szerinti lapját:
1. A Felhőhöz készült Defender menüjében válassza az Igény szerint virtuálisgép-hozzáférés lehetőséget.
2. A Konfigurált lapon kattintson a jobb gombbal arra a virtuális gépre, amelyhez portot szeretne hozzáadni, és válassza a szerkesztés lehetőséget.
3. A JIT virtuális gép hozzáférési konfigurációjában szerkesztheti egy már védett port meglévő beállításait, vagy hozzáadhat egy új egyéni portot.
4. Ha befejezte a portok szerkesztését, válassza a Mentés lehetőséget.

Hozzáférés kérése JIT-kompatibilis virtuális géphez az Azure-beli virtuális gép kapcsolódási oldaláról

Képernyőkép a jit igény szerinti kérésről.

Hozzáférés kérése Azure-beli virtuális gépekről:

A Azure Portal nyissa meg a virtuális gépek lapjait.
Jelölje ki azt a virtuális gépet, amelyhez csatlakozni szeretne, és nyissa meg a Csatlakozás lapot.

Az Azure ellenőrzi, hogy engedélyezve van-e a JIT az adott virtuális gépen.
- Ha a JIT nincs engedélyezve a virtuális gépen, a rendszer kérni fogja annak engedélyezését.
- Ha a JIT engedélyezve van, válassza a Hozzáférés kérése lehetőséget a hozzáférési kérelemnek az adott virtuális géphez konfigurált kérés IP-címével, időtartományával és portjával való átadásához.

Megjegyzés

Miután jóváhagytak egy kérést egy Azure Firewall által védett virtuális géphez, a Defender for Cloud biztosítja a felhasználónak a megfelelő kapcsolati adatokat (a DNST-tábla portleképezését) a virtuális géphez való csatlakozáshoz.

PowerShell

A JIT engedélyezése virtuális gépeken a PowerShell-lel

A PowerShellből való igény szerinti virtuálisgép-hozzáférés engedélyezéséhez használja a Cloud PowerShell hivatalos Microsoft Defender parancsmagotSet-AzJitNetworkAccessPolicy.

Példa – Engedélyezze az igény szerinti virtuálisgép-hozzáférést egy adott virtuális gépen a következő szabályokkal:

A 22-s és a 3389-s port bezárása
Állítson be egy legfeljebb 3 órás időkeretet mindegyikhez, hogy jóváhagyott kérésenként meg lehessen nyitni őket
A forrás IP-címek vezérlésének engedélyezése a hozzáférést kérő felhasználó számára
Engedélyezze a hozzáférést kérő felhasználónak, hogy egy jóváhagyott igény szerinti hozzáférési kérelem alapján hozzon létre egy sikeres munkamenetet

A következő PowerShell-parancsok hozzák létre ezt a JIT-konfigurációt:

Rendeljen hozzá egy változót, amely a virtuális géphez tartozó igény szerint megadott virtuálisgép-hozzáférési szabályokat tartalmazza:

$JitPolicy = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
         number=22;
         protocol="*";
         allowedSourceAddressPrefix=@("*");
         maxRequestAccessDuration="PT3H"},
         @{
         number=3389;
         protocol="*";
         allowedSourceAddressPrefix=@("*");
         maxRequestAccessDuration="PT3H"})})

Szúrja be a virtuális gép igény szerint megadott virtuálisgép-hozzáférési szabályait egy tömbbe:
```
$JitPolicyArr=@($JitPolicy)
```
Konfigurálja az igény szerint megadott virtuálisgép-hozzáférési szabályokat a kiválasztott virtuális gépen:
```
Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
```
A -Name paraméterrel adjon meg egy virtuális gépet. Ha például két különböző virtuális gép( VM1 és VM2) JIT-konfigurációját szeretné létrehozni, használja a következőt: Set-AzJitNetworkAccessPolicy -Name VM1 és Set-AzJitNetworkAccessPolicy -Name VM2.

Hozzáférés kérése egy JIT-kompatibilis virtuális géphez a PowerShell használatával

Az alábbi példában egy igény szerinti virtuálisgép-hozzáférési kérést láthat egy adott virtuális géphez a 22-s porthoz, egy adott IP-címhez és egy adott ideig:

Futtassa a következő parancsokat a PowerShellben:

A virtuális gép hozzáférési tulajdonságainak konfigurálása:

$JitPolicyVm1 = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
       number=22;
       endTimeUtc="2020-07-15T17:00:00.3658798Z";
       allowedSourceAddressPrefix=@("IPV4ADDRESS")})})

Szúrja be a virtuálisgép-hozzáférési kérelem paramétereit egy tömbbe:
```
$JitPolicyArr=@($JitPolicyVm1)
```

Hozzáférés kérésének elküldése (használja az 1. lépés erőforrás-azonosítóját)

Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr

További információ a PowerShell-parancsmag dokumentációjában.

REST API

JIT engedélyezése virtuális gépeken a REST API használatával

A Microsoft Defender for Cloud API-val az igény szerint elérhető virtuálisgép-hozzáférési funkció használható. Ezzel az API-val információkat kaphat a konfigurált virtuális gépekről, újakat vehet fel, hozzáférést kérhet egy virtuális géphez stb.

További információ a JIT hálózati hozzáférési szabályzatairól.

Hozzáférés kérése JIT-kompatibilis virtuális géphez a REST API használatával