Mengaktifkan akses just-in-time pada VM

Anda dapat menggunakan akses just-in-time (JIT) Microsoft Defender untuk Cloud untuk melindungi komputer virtual (VM) Azure Anda dari akses jaringan yang tidak sah. Sering kali firewall berisi memungkinkan aturan yang membuat VM Anda rentan terhadap serangan. JIT memungkinkan Anda mengizinkan akses ke VM Hanya ketika akses diperlukan, pada port yang diperlukan, dan untuk jangka waktu yang diperlukan.

Pelajari selengkapnya tentang cara kerja JIT dan izin yang diperlukan untuk mengonfigurasi dan menggunakan JIT.

Dalam artikel ini, Anda mempelajari cara menyertakan JIT dalam program keamanan Anda, termasuk cara:

  • Mengaktifkan JIT pada VM Anda dari portal Azure atau secara terprogram
  • Meminta akses ke VM yang mengaktifkan JIT dari portal Azure atau secara terprogram
  • Audit aktivitas JIT untuk memastikan VM Anda diamankan dengan tepat

Ketersediaan

Aspek Detail
Status rilis: Ketersediaan umum (GA)
VM yang didukung: VM yang disebarkan melalui Azure Resource Manager
VM yang disebarkan dengan model penyebaran klasik
VM yang dilindungi oleh Azure Firewall pada VNET yang sama dengan VM
VM yang dilindungi oleh Azure Firewall yang dikendalikan oleh Azure Firewall Manager
Instans AWS EC2 (Pratinjau)
Peran dan izin akses yang diperlukan: Pembaca, SecurityReader, atau peran kustom dapat melihat status dan parameter JIT.
Untuk membuat peran yang paling tidak istimewa bagi pengguna yang hanya perlu meminta akses JIT ke VM, gunakan skrip Set-JitLeastPrivilegedRole.
Cloud: Cloud komersial
Nasional (Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet)
Akun AWS yang terhubung (pratinjau)

Prasyarat

  • JIT mengharuskan Pertahanan Microsoft untuk Server Paket 2 diaktifkan pada langganan.

  • Peran Pembaca dan Pembaca Keamanan dapat melihat status dan parameter JIT.

  • Jika Anda ingin membuat peran kustom yang berfungsi dengan JIT, Anda memerlukan detail dari tabel berikut:

    Mengaktifkan pengguna untuk: Izin untuk mengatur
    Mengonfigurasi atau mengedit kebijakan JIT untuk komputer virtual Tetapkan tindakan ini ke peran:
    • Pada cakupan langganan (atau grup sumber daya saat menggunakan API atau PowerShell saja) yang terkait dengan VM:
      Microsoft.Security/locations/jitNetworkAccessPolicies/write
    • Pada cakupan langganan (atau grup sumber daya saat hanya menggunakan API atau PowerShell) VM:
      Microsoft.Compute/virtualMachines/write
    Meminta akses JIT ke komputer virtual Tetapkan tindakan ini ke peran:
    • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
    • Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Network/networkInterfaces/*/read
    • Microsoft.Network/publicIPAddresses/read
    Membaca kebijakan JIT Tetapkan tindakan ini ke peran:
    • Microsoft.Security/locations/jitNetworkAccessPolicies/read
    • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
    • Microsoft.Security/policies/read
    • Microsoft.Security/pricings/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Network/*/read

    Catatan

    Hanya izin Microsoft.Security yang relevan untuk AWS.

  • Untuk menyiapkan JIT di Amazon Web Service (AWS) VM, Anda perlu menyambungkan akun AWS Anda ke Microsoft Defender untuk Cloud.

    Tip

    Untuk membuat peran yang paling tidak memiliki hak istimewa bagi pengguna yang perlu meminta akses JIT ke VM, dan tidak melakukan operasi JIT lainnya, gunakan skrip Set-JitLeastPrivilegedRole dari halaman komunitas GitHub Defender untuk Cloud.

    Catatan

    Agar berhasil membuat kebijakan JIT kustom, nama kebijakan, bersama dengan nama VM yang ditargetkan, tidak boleh melebihi total 56 karakter.

Bekerja dengan akses VM JIT menggunakan Microsoft Defender untuk Cloud

Anda dapat menggunakan Defender untuk Cloud atau Anda dapat mengaktifkan akses VM JIT secara terprogram dengan opsi kustom Anda sendiri, atau Anda dapat mengaktifkan JIT dengan parameter default yang dikodekan secara permanen dari komputer virtual Azure.

Akses VM just-in-time menunjukkan VM Anda yang dikelompokkan ke dalam:

  • Dikonfigurasi - VM yang dikonfigurasi untuk mendukung akses VM just-in-time, dan menunjukkan:
    • jumlah permintaan JIT yang disetujui dalam tujuh hari terakhir
    • tanggal dan waktu akses terakhir
    • detail koneksi dikonfigurasi
    • pengguna terakhir
  • Tidak dikonfigurasi - VM tanpa JIT diaktifkan, tetapi dapat mendukung JIT. Kami sarankan Anda mengaktifkan JIT untuk VM ini.
  • Tidak didukung - VM yang tidak mendukung JIT karena:
    • Grup keamanan jaringan yang hilang (NSG) atau Azure Firewall - JIT memerlukan NSG untuk dikonfigurasi atau konfigurasi Firewall (atau keduanya)
    • VM klasik - JIT mendukung VM yang disebarkan melalui Azure Resource Manager. Pelajari lebih lanjut tentang model penerapan klasik vs Azure Resource Manager.
    • Lainnya - Solusi JIT dinonaktifkan dalam kebijakan keamanan langganan atau grup sumber daya.

Mengaktifkan JIT pada VM Anda dari Microsoft Defender untuk Cloud

Cuplikan layar memperlihatkan konfigurasi akses VM JIT di Microsoft Defender untuk Cloud.

Dari Defender for Cloud, Anda dapat mengaktifkan dan mengonfigurasi akses JIT VM.

  1. Buka perlindungan Beban Kerja dan, dalam perlindungan tingkat lanjut, pilih Akses VM just-in-time.

  2. Di tab Komputer virtual yang tidak dikonfigurasi , tandai VM untuk dilindungi dengan JIT dan pilih Aktifkan JIT pada VM.

    Halaman akses VM JIT terbuka mencantumkan port yang disarankan Defender for Cloud untuk dilindungi:

    • 22 - SSH
    • 3389 - RDP
    • 5985 - WinRM
    • 5986 - WinRM

    Untuk mengkustomisasi akses JIT:

    1. Pilih Tambahkan.

    2. Pilih salah satu port dalam daftar untuk mengeditnya atau memasukkan port lain. Untuk setiap port, Anda dapat mengatur:

      • Protokol - Protokol yang diizinkan pada port ini ketika permintaan disetujui
      • IP sumber yang diizinkan - Rentang IP yang diizinkan pada port ini ketika permintaan disetujui
      • Waktu permintaan maksimum - Jendela waktu maksimum di mana port tertentu dapat dibuka
    3. Pilih OK.

  3. Untuk menyimpan konfigurasi port, pilih Simpan.

Edit konfigurasi JIT pada VM dengan dukungan JIT menggunakan Defender untuk Cloud

Anda dapat memodifikasi konfigurasi tepat waktu VM dengan menambahkan dan mengonfigurasi port baru untuk melindungi VM tersebut, atau dengan mengubah pengaturan lain yang terkait dengan port yang sudah dilindungi.

Untuk mengedit aturan JIT yang ada untuk VM:

  1. Buka perlindungan Beban Kerja dan, dalam perlindungan tingkat lanjut, pilih Akses VM just-in-time.

  2. Di tab Komputer virtual yang dikonfigurasi, klik kanan pada VM dan pilih Edit.

  3. Dalam konfigurasi akses JIT VM, Anda dapat mengedit daftar port atau memilih Tambahkan port kustom baru.

  4. Saat Anda selesai mengedit port, pilih Simpan.

Meminta akses ke VM berkemampuan JIT dari Microsoft Defender for Cloud

Ketika VM mengaktifkan JIT, Anda harus meminta akses untuk menyambungkannya. Anda dapat meminta akses dengan salah satu cara yang didukung, terlepas dari bagaimana Anda mengaktifkan JIT.

  1. Dari laman Akses VM tepat waktu, pilih tab Dikonfigurasi.

  2. Pilih VM yang ingin Anda akses:

    • Ikon di kolom Detail Koneksi menunjukkan apakah JIT diaktifkan pada grup keamanan jaringan atau firewall. Jika diaktifkan pada keduanya, hanya ikon firewall yang muncul.

    • Kolom Detail Koneksi memperlihatkan pengguna dan port yang dapat mengakses VM.

  3. Pilih Minta akses. Jendela Minta akses terbuka.

  4. Di bawah Minta akses, pilih port yang ingin Anda buka untuk setiap VM, alamat IP sumber tempat Anda ingin port dibuka, dan jendela waktu untuk membuka port.

  5. Pilih Buka porta.

    Catatan

    Jika pengguna yang meminta akses berada di belakang proksi, Anda dapat memasukkan rentang alamat IP proksi.

Cara lain untuk bekerja dengan akses VM JIT

Komputer virtual Azure

Aktifkan JIT pada VM Anda dari komputer virtual Azure

Anda dapat mengaktifkan JIT pada VM dari halaman komputer virtual Portal Azure.

Tip

Jika VM sudah mengaktifkan JIT, halaman konfigurasi VM menunjukkan bahwa JIT diaktifkan. Anda dapat menggunakan tautan untuk membuka halaman akses JIT VM di Defender untuk Cloud untuk melihat dan mengubah pengaturan.

  1. Dari Portal Azure, telusuri dan pilih Komputer virtual.

  2. Pilih komputer virtual yang ingin Anda lindungi dengan JIT.

  3. Di menu, pilih Konfigurasi.

  4. Di bawah Akses tepat waktu, pilih Aktifkan tepat waktu.

    Secara default, akses just-in-time untuk VM menggunakan pengaturan ini:

    • Komputer Windows
      • Port RDP: 3389
      • Akses maksimum yang diizinkan: Tiga jam
      • Alamat IP sumber yang diizinkan: Apa pun
    • Komputer Linux
      • Port SSH: 22
      • Akses maksimum yang diizinkan: Tiga jam
      • Alamat IP sumber yang diizinkan: Apa pun
  5. Untuk mengedit salah satu nilai ini atau menambahkan lebih banyak port ke konfigurasi JIT Anda, gunakan halaman just-in-time Microsoft Defender untuk Cloud:

    1. Dari menu Defender for Cloud, pilih Akses VM JIT.

    2. Dari tab Dikonfigurasi , klik kanan pada VM tempat Anda ingin menambahkan port, dan pilih Edit.

      Mengedit konfigurasi akses JIT VM di Microsoft Defender for Cloud.

    3. Di bawah Konfigurasi akses JIT VM, Anda dapat mengedit setelan yang ada dari port yang sudah dilindungi atau menambahkan port kustom baru.

    4. Setelah selesai mengedit port, pilih Simpan.

Meminta akses ke VM yang mendukung JIT dari halaman terhubung komputer virtual Azure

Ketika VM mengaktifkan JIT, Anda harus meminta akses untuk menyambungkannya. Anda dapat meminta akses dengan salah satu cara yang didukung, terlepas dari bagaimana Anda mengaktifkan JIT.

Cuplikan layar memperlihatkan permintaan jit just-in-time.

Untuk meminta akses dari komputer virtual Azure:

  1. Di portal Azure, buka halaman komputer virtual.

  2. Pilih VM yang ingin Anda sambungkan, dan buka laman Hubungkan.

    Azure memeriksa apakah JIT diaktifkan pada VM tersebut.

    • Jika JIT tidak diaktifkan untuk VM, Anda akan diminta untuk mengaktifkannya.

    • Jika JIT diaktifkan, pilih Minta akses untuk meneruskan permintaan akses dengan IP yang meminta, rentang waktu, dan port yang dikonfigurasi untuk VM tersebut.

Catatan

Setelah permintaan disetujui untuk VM yang dilindungi oleh Azure Firewall, Defender for Cloud menyediakan pengguna detail koneksi yang tepat (pemetaan port dari tabel DNAT) agar digunakan untuk menyambungkan ke VM.

PowerShell

Mengaktifkan JIT pada VM Anda menggunakan PowerShell

Untuk mengaktifkan akses VM JIT dari PowerShell, gunakan cmdlet PowerShell Microsoft Defender for Cloud resmi Set-AzJitNetworkAccessPolicy.

Contoh - Aktifkan akses VM tepat waktu pada VM tertentu dengan aturan berikut:

  • Tutup port 22 dan 3389
  • Atur jendela waktu maksimum 3 jam untuk masing-masing sehingga dapat dibuka per permintaan yang disetujui
  • Perbolehkan pengguna yang meminta akses untuk mengontrol alamat IP sumber
  • Mengizinkan pengguna yang meminta akses untuk membuat sesi yang sukses berdasarkan permintaan akses tepat waktu yang disetujui

Perintah PowerShell berikut membuat konfigurasi JIT ini:

  1. Tetapkan variabel yang memegang aturan akses VM tepat waktu untuk VM:

    $JitPolicy = (@{
        id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
        ports=(@{
            number=22;
            protocol="*";
            allowedSourceAddressPrefix=@("*");
            maxRequestAccessDuration="PT3H"},
            @{
            number=3389;
            protocol="*";
            allowedSourceAddressPrefix=@("*");
            maxRequestAccessDuration="PT3H"})})
    
  2. Sisipkan aturan akses VM tepat waktu VM ke dalam array:

    $JitPolicyArr=@($JitPolicy)
    
  3. Mengonfigurasi aturan akses VM tepat waktu pada VM yang dipilih:

    Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
    

    Gunakan parameter -Name untuk menentukan VM. Misalnya, untuk menetapkan konfigurasi JIT untuk dua VM yang berbeda, VM1 dan VM2, gunakan: Set-AzJitNetworkAccessPolicy -Name VM1 dan Set-AzJitNetworkAccessPolicy -Name VM2.

Meminta akses ke VM yang mendukung JIT menggunakan PowerShell

Dalam contoh berikut, Anda dapat melihat permintaan akses VM just-in-time ke VM tertentu untuk port 22, untuk alamat IP tertentu, dan untuk jumlah waktu tertentu:

Jalankan perintah berikut ini di PowerShell:

  1. Mengonfigurasi properti akses permintaan VM:

    $JitPolicyVm1 = (@{
        id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
        ports=(@{
          number=22;
          endTimeUtc="2020-07-15T17:00:00.3658798Z";
          allowedSourceAddressPrefix=@("IPV4ADDRESS")})})
    
  2. Masukkan parameter permintaan akses VM dalam array:

    $JitPolicyArr=@($JitPolicyVm1)
    
  3. Kirim akses permintaan (gunakan ID sumber daya dari langkah 1)

    Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr
    

Pelajari lebih lanjut di dokumentasi cmdlet PowerShell.

REST API

Aktifkan JIT pada VM Anda menggunakan REST API

Fitur akses VM just-in-time dapat digunakan melalui Microsoft Defender for Cloud API. Gunakan API ini untuk mendapatkan informasi tentang VM yang dikonfigurasi, menambahkan yang baru, meminta akses ke VM, dan lainnya.

Pelajari lebih lanjut di kebijakan akses jaringan JIT.

Meminta akses ke VM yang mendukung JIT menggunakan REST API

Fitur akses VM just-in-time dapat digunakan melalui Microsoft Defender for Cloud API. Gunakan API ini untuk mendapatkan informasi tentang VM yang dikonfigurasi, menambahkan yang baru, meminta akses ke VM, dan lainnya.

Pelajari lebih lanjut di kebijakan akses jaringan JIT.

Mengaudit aktivitas akses JIT di Defender for Cloud

Anda dapat memperoleh wawasan tentang aktivitas VM menggunakan pencarian log. Untuk melihat log:

  1. Dari Akses VM tepat waktu, pilih tab Dikonfigurasi.

  2. Untuk VM yang ingin Anda audit, buka menu elipsis di akhir baris.

  3. Pilih Log Aktivitas dari menu.

    Pilih log aktivitas JIT just-in-time.

    Log aktivitas menyediakan tampilan terfilter dari operasi sebelumnya untuk VM tersebut bersama dengan waktu, tanggal, dan langganan.

  4. Untuk mengunduh informasi log, pilih Unduh sebagai CSV.

Langkah selanjutnya