Szerkesztés

Megosztás a következőn keresztül:


Igény szerint történő hozzáférés engedélyezése virtuális gépeken

A Felhőhöz készült Microsoft Defender igény szerinti (JIT) hozzáférésének használatával megvédheti azure-beli virtuális gépeit a jogosulatlan hálózati hozzáféréstől. A tűzfalak gyakran tartalmaznak olyan engedélyezési szabályokat, amelyek sebezhetővé teszik a virtuális gépeket a támadásokkal szemben. A JIT lehetővé teszi, hogy csak akkor engedélyezze a virtuális gépek elérését, ha a hozzáférés szükséges, a szükséges portokon és a szükséges ideig.

További információ a JIT működéséről, valamint a JIT konfigurálásához és használatához szükséges engedélyekről.

Ebből a cikkből megtudhatja, hogyan foglalhatja bele a JIT-t a biztonsági programba, többek között az alábbiakat:

  • JIT engedélyezése virtuális gépeken az Azure Portalról vagy programozott módon
  • Hozzáférés kérése olyan virtuális géphez, amelynek JIT-je engedélyezve van az Azure Portalról vagy programozott módon
  • Ellenőrizze a JIT-tevékenységet , hogy a virtuális gépek megfelelő biztonságban legyenek

Elérhetőség

Szempont Részletek
Kiadási állapot: Általános rendelkezésre állás (GA)
Támogatott virtuális gépek: Az Azure Resource Manageren keresztül üzembe helyezett virtuális gépek
Klasszikus üzemi modellekkel üzembe helyezett virtuális gépek
Az Azure Firewall által védett virtuális gépek ugyanazon a virtuális hálózaton, mint a virtuális gép
Az Azure Firewall Manager által felügyelt Azure Firewall által védett virtuális gépek
AWS EC2-példányok (előzetes verzió)
Szükséges szerepkörök és engedélyek: Az olvasó, a SecurityReader vagy egy egyéni szerepkör megtekintheti a JIT állapotát és paramétereit.
Ha olyan legkevésbé kiemelt szerepkört szeretne létrehozni a felhasználóknak, amelyeknek csak JIT-hozzáférést kell kérniük egy virtuális géphez, használja a Set-JitLeastPrivilegedRole szkriptet.
Felhők: Kereskedelmi felhők
National (Azure Government, Microsoft Azure által üzemeltetett 21Vianet)
Csatlakoztatott AWS-fiókok (előzetes verzió)

Előfeltételek

  • A JIT megköveteli , hogy a Microsoft Defender for Servers 2 . csomagja engedélyezve legyen az előfizetésben.

  • Az Olvasó és a SecurityReader szerepkör egyaránt megtekintheti a JIT állapotát és paramétereit.

  • Ha olyan egyéni szerepköröket szeretne létrehozni, amelyek a JIT-vel működnek, az alábbi táblázat adataira van szüksége:

    Ha engedélyezni szeretné a felhasználónak a következőt: A beállításhoz szükséges engedélyek
    JIT-szabályzat konfigurálása vagy szerkesztése virtuális géphez Rendelje hozzá ezeket a műveleteket a szerepkörhöz:
    • A virtuális géphez társított előfizetés hatókörén (vagy erőforráscsoporton belül, ha csak API-t vagy PowerShellt használ):
      Microsoft.Security/locations/jitNetworkAccessPolicies/write
    • A virtuális gép előfizetésének hatókörén (vagy erőforráscsoporton belül, ha csak API-t vagy PowerShellt használ):
      Microsoft.Compute/virtualMachines/write
    JIT-hozzáférés kérése egy virtuális géphez Rendelje hozzá ezeket a műveleteket a felhasználóhoz:
    • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
    • Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Network/networkInterfaces/*/read
    • Microsoft.Network/publicIPAddresses/read
    JIT-szabályzatok olvasása Rendelje hozzá ezeket a műveleteket a felhasználóhoz:
    • Microsoft.Security/locations/jitNetworkAccessPolicies/read
    • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
    • Microsoft.Security/policies/read
    • Microsoft.Security/pricings/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Network/*/read

    Feljegyzés

    Csak az Microsoft.Security engedélyek relevánsak az AWS-hez.

  • Ha az Amazon Web Service (AWS) virtuális gépen szeretné beállítani a JIT-t, csatlakoztatnia kell az AWS-fiókját Felhőhöz készült Microsoft Defender.

    Tipp.

    Ha a legkevésbé kiemelt szerepkört szeretné létrehozni azon felhasználók számára, amelyeknek JIT-hozzáférést kell kérniük egy virtuális géphez, és semmilyen más JIT-műveletet nem hajtanak végre, használja a Set-JitLeastPrivilegedRole szkriptet a Felhőhöz készült Defender GitHub-közösségi oldalakról.

    Feljegyzés

    Egyéni JIT-szabályzat sikeres létrehozásához a szabályzat neve és a megcélzott virtuális gép neve nem haladhatja meg az 56 karaktert.

JIT virtuálisgép-hozzáférés használata Felhőhöz készült Microsoft Defender

Használhatja a Felhőhöz készült Defender, vagy programozott módon engedélyezheti a JIT virtuális gépek elérését saját egyéni beállításaival, vagy engedélyezheti a JIT-t az Azure-beli virtuális gépek alapértelmezett, kemény kóddal ellátott paramétereivel.

A just-in-time virtuálisgép-hozzáférés a következő csoportba csoportosított virtuális gépeket jeleníti meg:

  • Konfigurálva – A virtuális gépek igény szerint történő elérésének támogatására konfigurált virtuális gépek, és a következőt jeleníti meg:
    • az elmúlt hét nap jóváhagyott JIT-kérelmeinek száma
    • az utolsó hozzáférési dátum és időpont
    • a konfigurált kapcsolat részletei
    • az utolsó felhasználó
  • Nincs konfigurálva – A JIT-t nem engedélyező virtuális gépek, de támogatják a JIT-t. Javasoljuk, hogy engedélyezze a JIT-t ezekhez a virtuális gépekhez.
  • Nem támogatott virtuális gépek, amelyek nem támogatják a JIT-t, mert:
    • Hiányzó hálózati biztonsági csoport (NSG) vagy Azure Firewall – A JIT használatához NSG-t vagy tűzfalkonfigurációt (vagy mindkettőt) kell konfigurálni
    • Klasszikus virtuális gép – A JIT az Azure Resource Manageren keresztül üzembe helyezett virtuális gépeket támogatja. További információ a klasszikus és az Azure Resource Manager-alapú üzemi modellekről.
    • Egyéb – A JIT-megoldás le van tiltva az előfizetés vagy az erőforráscsoport biztonsági szabályzatában.

JIT engedélyezése a virtuális gépeken a Felhőhöz készült Microsoft Defender

Képernyőkép a JIT virtuális gépek hozzáférésének konfigurálásáról a Felhőhöz készült Microsoft Defender.

A Felhőhöz készült Defender engedélyezheti és konfigurálhatja a JIT virtuálisgép-hozzáférést.

  1. Nyissa meg a számítási feladatok védelmét , és a speciális védelemben válassza az Igény szerint virtuálisgép-hozzáférést.

  2. A Nem konfigurált virtuális gépek lapon jelölje meg a virtuális gépeket a JIT-vel való védelemhez, és válassza a JIT engedélyezése a virtuális gépeken lehetőséget.

    Megnyílik a JIT virtuális gép hozzáférési lapja, amely felsorolja azokat a portokat, amelyeket Felhőhöz készült Defender javasol a védelemhez:

    • 22 – SSH
    • 3389 – RDP
    • 5985 - WinRM
    • 5986 - WinRM

    A JIT-hozzáférés testreszabása:

    1. Válassza a Hozzáadás lehetőséget.

    2. Jelölje ki a lista egyik portját a szerkesztéshez, vagy adjon meg más portokat. Minden porthoz beállíthatja a következőt:

      • Protokoll – Az a protokoll, amely ezen a porton engedélyezett egy kérelem jóváhagyásakor
      • Engedélyezett forrás IP-címek – A porton a kérelem jóváhagyásakor engedélyezett IP-tartományok
      • Maximális kérelemidő – Az a maximális időkeret, amely alatt egy adott port megnyitható
    3. Kattintson az OK gombra.

  3. A portkonfiguráció mentéséhez válassza a Mentés lehetőséget.

JIT-konfiguráció szerkesztése JIT-kompatibilis virtuális gépen Felhőhöz készült Defender

A virtuális gép igény szerinti konfigurációját úgy módosíthatja, hogy hozzáad és konfigurál egy új portot a virtuális gép védelméhez, vagy módosítja a már védett porthoz kapcsolódó egyéb beállításokat.

A virtuális gép meglévő JIT-szabályainak szerkesztése:

  1. Nyissa meg a számítási feladatok védelmét , és a speciális védelemben válassza az Igény szerint virtuálisgép-hozzáférést.

  2. A Konfigurált virtuális gépek lapon kattintson a jobb gombbal egy virtuális gépre, és válassza a Szerkesztés lehetőséget.

  3. A JIT virtuális gép hozzáférési konfigurációjában szerkesztheti a portok listáját, vagy választhatja az Új egyéni port hozzáadása lehetőséget.

  4. Amikor befejezte a portok szerkesztését, válassza a Mentés lehetőséget.

Hozzáférés kérése JIT-kompatibilis virtuális géphez Felhőhöz készült Microsoft Defender

Ha egy virtuális gép rendelkezik jiT-kompatibilis állapottal, hozzáférést kell kérnie a csatlakozáshoz. A JIT engedélyezésétől függetlenül bármilyen támogatott módon kérhet hozzáférést.

  1. A Just-in-time virtuálisgép-hozzáférési lapon válassza a Konfigurált lapot.

  2. Válassza ki a elérni kívánt virtuális gépeket:

    • A Kapcsolat részletei oszlop ikonja jelzi, hogy a JIT engedélyezve van-e a hálózati biztonsági csoportban vagy tűzfalon. Ha mindkettőn engedélyezve van, csak a tűzfalikon jelenik meg.

    • A Kapcsolat részletei oszlop a virtuális géphez hozzáférő felhasználót és portokat jeleníti meg.

  3. Válassza a Hozzáférés kérése lehetőséget. Megnyílik a Kérelem hozzáférési ablak.

  4. A Hozzáférés kérése területen válassza ki az egyes virtuális gépekhez megnyitni kívánt portokat, a portot megnyitni kívánt forrás IP-címeket és a portok megnyitásához szükséges időkeretet.

  5. Válassza a Portok megnyitása lehetőséget.

    Feljegyzés

    Ha a hozzáférést kérő felhasználó proxy mögött található, megadhatja a proxy IP-címtartományát.

A JIT virtuális gépek hozzáférésének egyéb módjai

Azure-beli virtuális gépek

JIT engedélyezése a virtuális gépeken azure-beli virtuális gépekről

A JIT-t a virtuális gépeken az Azure Portal Azure-beli virtuálisgép-oldalain engedélyezheti.

Tipp.

Ha egy virtuális gépen már engedélyezve van a JIT, a virtuális gép konfigurációs oldalán látható, hogy a JIT engedélyezve van. A hivatkozással megnyithatja a JIT virtuális gép hozzáférési oldalát a Felhőhöz készült Defender a beállítások megtekintéséhez és módosításához.

  1. Az Azure Portalon keresse meg és válassza ki a virtuális gépeket.

  2. Válassza ki a JIT-vel védeni kívánt virtuális gépet.

  3. A menüben válassza a Konfiguráció lehetőséget.

  4. A Just-in-time (Igény szerinti hozzáférés) területen válassza az Igény szerinti hozzáférés engedélyezése lehetőséget.

    Alapértelmezés szerint a virtuális géphez való igény szerinti hozzáférés a következő beállításokat használja:

    • Windows rendszerű gépek
      • RDP-port: 3389
      • Maximálisan engedélyezett hozzáférés: három óra
      • Engedélyezett forrás IP-címek: Bármely
    • Linux rendszerű gépek
      • SSH-port: 22
      • Maximálisan engedélyezett hozzáférés: három óra
      • Engedélyezett forrás IP-címek: Bármely
  5. Ha ezen értékek bármelyikét szerkeszteni szeretné, vagy több portot szeretne hozzáadni a JIT-konfigurációhoz, használja Felhőhöz készült Microsoft Defender igény szerinti oldalát:

    1. A Felhőhöz készült Defender menüjében válassza az Igény szerint virtuálisgép-hozzáférés lehetőséget.

    2. A Konfigurált lapon kattintson a jobb gombbal arra a virtuális gépre, amelyhez portot szeretne hozzáadni, és válassza a Szerkesztés lehetőséget.

      JIT virtuálisgép-hozzáférési konfiguráció szerkesztése a Felhőhöz készült Microsoft Defender.

    3. A JIT virtuális gép hozzáférési konfigurációja alatt szerkesztheti egy már védett port meglévő beállításait, vagy hozzáadhat egy új egyéni portot.

    4. Ha befejezte a portok szerkesztését, válassza a Mentés lehetőséget.

Hozzáférés kérése JIT-kompatibilis virtuális géphez az Azure-beli virtuális gép kapcsolódási oldaláról

Ha egy virtuális gép rendelkezik jiT-kompatibilis állapottal, hozzáférést kell kérnie a csatlakozáshoz. A JIT engedélyezésétől függetlenül bármilyen támogatott módon kérhet hozzáférést.

Képernyőkép a jit igény szerinti kérésről.

Hozzáférés kérése Azure-beli virtuális gépekről:

  1. Az Azure Portalon nyissa meg a virtuális gépek lapjait.

  2. Jelölje ki azt a virtuális gépet, amelyhez csatlakozni szeretne, és nyissa meg a Csatlakozás lapot.

    Az Azure ellenőrzi, hogy engedélyezve van-e a JIT az adott virtuális gépen.

    • Ha a JIT nincs engedélyezve a virtuális gépen, a rendszer kérni fogja annak engedélyezését.

    • Ha a JIT engedélyezve van, válassza a Hozzáférés kérése lehetőséget a hozzáférési kérelemnek az adott virtuális géphez konfigurált ip-címmel, időtartománysal és portokkal való átadásához.

Feljegyzés

Miután jóváhagyták az Azure Firewall által védett virtuális gépre vonatkozó kérelmet, Felhőhöz készült Defender megadja a felhasználónak a megfelelő kapcsolati adatokat (a DNST-táblából származó portleképezést) a virtuális géphez való csatlakozáshoz.

PowerShell

A JIT engedélyezése virtuális gépeken a PowerShell-lel

Az igény szerinti virtuális gépek PowerShell-hozzáférésének engedélyezéséhez használja a hivatalos Felhőhöz készült Microsoft Defender PowerShell-parancsmagotSet-AzJitNetworkAccessPolicy.

Példa – Igény szerinti virtuálisgép-hozzáférés engedélyezése egy adott virtuális gépen az alábbi szabályokkal:

  • A 22-s és a 3389-s port bezárása
  • Adjon meg egy 3 órás maximális időkeretet mindegyikhez, hogy jóváhagyott kérésenként meg lehessen nyitni őket.
  • A forrás IP-címek vezérlésének engedélyezése a hozzáférést kérő felhasználó számára
  • Engedélyezze a hozzáférést kérő felhasználónak, hogy sikeres munkamenetet hozzon létre egy jóváhagyott igényalapú hozzáférési kérelem alapján

A következő PowerShell-parancsok hozzák létre ezt a JIT-konfigurációt:

  1. Rendeljen hozzá egy változót, amely a virtuális géphez tartozó igény szerint megadott virtuálisgép-hozzáférési szabályokat tartalmazza:

    $JitPolicy = (@{
        id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
        ports=(@{
            number=22;
            protocol="*";
            allowedSourceAddressPrefix=@("*");
            maxRequestAccessDuration="PT3H"},
            @{
            number=3389;
            protocol="*";
            allowedSourceAddressPrefix=@("*");
            maxRequestAccessDuration="PT3H"})})
    
  2. Szúrja be a virtuális gép igény szerint történő virtuálisgép-hozzáférési szabályait egy tömbbe:

    $JitPolicyArr=@($JitPolicy)
    
  3. Konfigurálja az igény szerint megadott virtuálisgép-hozzáférési szabályokat a kijelölt virtuális gépen:

    Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
    

    A -Name paraméterrel adjon meg egy virtuális gépet. Ha például két különböző virtuális gép( VM1 és VM2) JIT-konfigurációját szeretné létrehozni, használja a következőt: Set-AzJitNetworkAccessPolicy -Name VM1 és Set-AzJitNetworkAccessPolicy -Name VM2.

Hozzáférés kérése egy JIT-kompatibilis virtuális géphez a PowerShell használatával

Az alábbi példában egy igény szerinti virtuálisgép-hozzáférési kérés jelenik meg egy adott virtuális géphez a 22-s porthoz, egy adott IP-címhez és egy meghatározott ideig:

Futtassa a következő parancsokat a PowerShellben:

  1. A virtuális gép hozzáférési tulajdonságainak konfigurálása:

    $JitPolicyVm1 = (@{
        id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
        ports=(@{
          number=22;
          endTimeUtc="2020-07-15T17:00:00.3658798Z";
          allowedSourceAddressPrefix=@("IPV4ADDRESS")})})
    
  2. Szúrja be a virtuálisgép-hozzáférési kérelem paramétereit egy tömbbe:

    $JitPolicyArr=@($JitPolicyVm1)
    
  3. A kérelem hozzáférésének elküldése (az erőforrás-azonosító használata az 1. lépésben)

    Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr
    

További információ a PowerShell-parancsmag dokumentációjában.

REST API

JIT engedélyezése virtuális gépeken a REST API használatával

Az igény szerint használható virtuálisgép-hozzáférési funkció a Felhőhöz készült Microsoft Defender API-val használható. Ezzel az API-val információkat kaphat a konfigurált virtuális gépekről, újakat vehet fel, hozzáférést kérhet egy virtuális géphez stb.

További információ a JIT hálózati hozzáférési szabályzatairól.

Hozzáférés kérése JIT-kompatibilis virtuális géphez a REST API használatával

Az igény szerint használható virtuálisgép-hozzáférési funkció a Felhőhöz készült Microsoft Defender API-val használható. Ezzel az API-val információkat kaphat a konfigurált virtuális gépekről, újakat vehet fel, hozzáférést kérhet egy virtuális géphez stb.

További információ a JIT hálózati hozzáférési szabályzatairól.

JIT-hozzáférési tevékenység naplózása Felhőhöz készült Defender

A naplókereséssel betekintést nyerhet a virtuálisgép-tevékenységekbe. A naplók megtekintése:

  1. A just-in-time virtuálisgép-hozzáférésből válassza a Konfigurált lapot.

  2. A naplózni kívánt virtuális gép esetében nyissa meg a sor végén található három pont menüt.

  3. Válassza ki a tevékenységnaplót a menüből.

    Válassza az igény szerinti JIT-tevékenységnaplót.

    A tevékenységnapló szűrt nézetet biztosít az adott virtuális gép korábbi műveleteiről, valamint az időről, a dátumról és az előfizetésről.

  4. A naplóadatok letöltéséhez válassza a Letöltés CSV-ként lehetőséget.

Következő lépés