Latihan - Mengaktifkan akses komputer virtual JIT

Selesai

Anda harus memiliki fitur keamanan yang ditingkatkan dari Microsoft Defender untuk Cloud guna memakai fitur ini. Setelah Anda mengaktifkan percobaan atau mengaktifkan keamanan yang ditingkatkan pada langganan Anda, Anda dapat mengaktifkan JIT VM Access untuk mesin virtual (VM) Azure yang dipilih dalam langganan. Jika Anda tidak ingin memulai uji coba sekarang, Anda dapat membaca melalui instruksi berikut untuk melihat langkah yang diperlukan.

Buat VM baru

Mari kita mulai dengan membuat komputer virtual menggunakan Azure Cloud Shell.

Catatan

Latihan ini tidak dapat dilakukan di Kotak Pasir Azure. Pastikan untuk memilih langganan yang mengaktifkan fitur keamanan ditingkatkan untuk Defender untuk Cloud.

  1. Masuk ke portal Azure.

  2. Pilih ikon Cloud Shell dari kanan atas toolbar portal Microsoft Azure. Cloud Shell muncul di bagian bawah portal.

    Mulai dengan mengatur beberapa nilai default agar Anda tidak perlu mengetiknya beberapa kali.

  3. Mengatur lokasi default. Di sini, kita akan menggunakan eastus, namun jangan ragu untuk mengubahnya ke lokasi yang lebih dekat dengan Anda.

    az configure --defaults location=eastus
    

    Tip

    Anda dapat menggunakan tombol Salinuntuk menyalin perintah ke clipboard. Untuk menempel, klik kanan pada baris baru di terminal Cloud Shell dan pilih Tempel, atau gunakan pintasan papan ketik Shift+Insert (⌘+V di macOS).

  4. Selanjutnya, buat grup sumber daya Azure baru untuk menyimpan sumber daya komputer virtual Anda. Kita menggunakan nama mslearnDeleteMe di sini guna mengingatkan diri kita untuk menghapus grup ini setelah selesai.

    az group create --name mslearnDeleteMe --location eastus
    
  5. Lanjutkan dan tetapkan mslearnDeleteMe sebagai grup sumber daya default.

    az configure --defaults group="mslearnDeleteMe"
    
  6. Selanjutnya, jalankan perintah berikut untuk membuat komputer virtual berbasis Windows baru. Pastikan untuk mengganti nilai <your-password-here> berikut dengan kata sandi yang valid.

    az vm create \
        --name SRVDC01 \
        --image win2019datacenter \
        --resource-group mslearnDeleteMe \
        --admin-username azureuser \
        --admin-password <your-password-here>
    

    Dibutuhkan beberapa menit untuk membuat komputer virtual dan sumber daya pendukung. Anda harus mendapatkan respons yang mirip dengan:

    {
      "fqdns": "",
      "id": "/subscriptions/abcd/resourceGroups/mslearnDeleteMe/providers/Microsoft.Compute/virtualMachines/SRVDC01",
      "location": "eastus",
      "macAddress": "00-00-00-00-00-00",
      "powerState": "VM running",
      "privateIpAddress": "10.1.0.4",
      "publicIpAddress": "52.123.123.123",
      "resourceGroup": "mslearnDeleteMe",
      "zones": ""
    }
    
  7. Gunakan alamat IP publik sebagai respons untuk menghubungkan ke VM menggunakan Desktop Jauh (RDP). Windows memiliki klien RDP bawaan. Jika Anda menggunakan sistem klien yang berbeda, ada klien yang tersedia untuk macOS dan Linux.

Anda dapat menyambungkan dan mengelola VM. Mari tambahkan JIT untuk keamanan!

Mengaktifkan akses VM JIT di Pertahanan untuk Cloud

  1. Di beranda Portal Microsoft Azure di panel penelusuran atas, telusuri dan pilih Microsoft Defender untuk Cloud. Panel Ringkasan untuk Microsoft Defender untuk Cloud akan muncul.

  2. Di panel menu sebelah kiri, di bawah Keamanan Cloud, pilih Perlindungan beban kerja. Panel Perlindungan beban kerja akan ditampilkan.

  3. Di jendela utama, gulir ke bawah ke Perlindungan tingkat lanjut. pilih Akses VM just-in-time. Panel Akses komputer virtual just-in-time muncul.

  4. Di bagian Komputer virtual, pilih tab Tidak Dikonfigurasi.

  5. Pilih mesin virtual dari grup sumber daya, MSLEARNDELETEME.

  6. Pilih Aktifkan JIT pada 1 komputer virtual dengan komputer virtual yang Anda pilih, seperti yang diperlihatkan dalam cuplikan layar berikut.

    Screenshot that depicts how you can enable JIT VM Access for a selected VM.

    Panel Konfigurasi akses komputer virtual JIT muncul untuk komputer virtual Anda. Setelah mengaktifkan aturan JIT, Anda dapat memeriksa Grup Keamanan Jaringan untuk mesin virtual. Akan ada kumpulan aturan baru yang diterapkan untuk memblokir akses pengelolaan jarak jauh, seperti yang ditunjukkan pada gambar berikut:

    Screenshot that depicts rules to block remote management access.

    Perhatikan bahwa aturan diterapkan ke alamat internal, dan semua port pengelolaan disertakan - baik Protokol Desktop Jarak Jauh (3389) dan SSH (22).

  7. Pada bilah menu atas, pilih Simpan. Panel Akses komputer virtual just-in-time muncul kembali.

Akses Desktop Jauh Permintaan

Jika Anda mencoba RDP ke VM Windows pada saat ini, Anda akan mendapati bahwa akses diblokir. Saat membutuhkan akses, admin Anda dapat mengakses Pertahanan untuk Cloud untuk meminta akses.

  1. Di bagian Komputer virtual, pilih tab Dikonfigurasi.

  2. Pilih komputer virtual Anda, lalu pilih Minta akses untuk membuka port manajemen.

    Screenshot that depicts how you can request access to a VM.

    Panel Akses permintaan muncul untuk SRVD01.

  3. Pilih port yang ingin Anda buka; dalam hal ini, port Desktop Jauh Microsoft (3389).

    Screenshot that depicts opening a port by selecting On for its toggle.

  4. Pilih Buka port untuk menyelesaikan permintaan. Anda juga dapat mengatur jumlah jam agar port tetap terbuka dari panel ini. Setelah waktu berakhir, port akan ditutup dan akses akan ditolak.

Sekarang, klien Desktop Jauh Anda dapat berhasil tersambung - setidaknya untuk jangka waktu yang Anda tetapkan melalui Defender untuk Cloud.