Just-In-Time (JIT) VM アクセスについて

このページでは、Microsoft Defender for Cloud の Just-In-Time (JIT) VM アクセス機能の背後にある原則と、推奨事項の背後にあるロジックについて説明します。

Azure portal (Defender for Cloud または Azure Virtual Machines) またはプログラムを使用して、VM に JIT を適用する方法については、JIT を使用して管理ポートをセキュリティで保護する方法に関する記事をご覧ください。

仮想マシン上の開いている管理ポートのリスク

脅威アクターは、RDP や SSH などの、開いている管理ポートがあるアクセス可能なマシンを積極的に探します。 すべての仮想マシンは、攻撃の対象となる可能性があります。 VM への侵害が成功すると、これは環境内のリソースをさらに攻撃するためのエントリ ポイントとして使用されます。

JIT VM アクセスがソリューションである理由

すべてのサイバーセキュリティ防止技術と同様に、目標は攻撃面を減らすことです。 ここでは、開いているポート (特に管理ポート) を減らすことを意味します。

正当なユーザーもこれらのポートを使用しているため、これらを閉じたままにしておくのは現実的ではありません。

このジレンマを解決するため、Microsoft Defender for Cloud には JIT が用意されています。 JIT により、VM へのインバウンド トラフィックをロックダウンすることができるので、攻撃に対する露出が減り、VM への接続が必要な場合は簡単にアクセスできます。

Azure と AWS のネットワーク リソースで JIT はどのように動作するか

Azure では、Just-In-Time VM アクセスを有効にすることで、特定のポートでの受信トラフィックをブロックできます。 Defender for Cloud では、ネットワーク セキュリティ グループ (NSG) と Azure Firewall 規則で選択したポートに対して "すべての受信トラフィックを拒否" 規則が確実に存在しています。 これらの規則により、Azure VM の管理ポートへのアクセスが制限され、攻撃から保護されます。

選択したポートに対して他の規則が既に存在している場合は、新しい "すべての受信トラフィックを拒否" 規則よりも既存の規則が優先されます。 選択したポートに既存の規則がない場合は、NSG と Azure Firewall で新しい規則が優先されます。

AWS では、JIT アクセスを有効にすることにより、選択したポートに対して、アタッチされた EC2 セキュリティ グループで関連規則が取り消されます。これにより、それらの特定のポートでの受信トラフィックがブロックされます。

ユーザーが VM へのアクセス権を要求すると、Defender for Cloud によってそのユーザーが VM に対する Azure ロール ベースのアクセス制御 (Azure RBAC) アクセス許可を持っているかどうかがチェックされます。 要求が承認されると、指定した時間内でのみ、関連する IP アドレス (または範囲) から選択したポートへの受信トラフィックが許可されるように、Defender for Cloud によって NSG および Azure Firewall が構成されます。 AWS では、Defender for Cloud によって、指定したポートへの受信トラフィックを許可する新しい EC2 セキュリティ グループが作成されます。 指定された時間が経過すると、Defender for Cloud により NSG が以前の状態に復元されます。 既に確立している接続は中断されません。

注意

JIT では、Azure Firewall Manager によって制御される Azure Firewall によって保護されている VM はサポートされません。 Azure Firewall は、ルール (クラシック) を使用して構成する必要があり、ファイアウォール ポリシーを使用することはできません。

JIT を適用する必要がある VM を Defender for Cloud で特定する方法

次の図は、サポートされている VM の分類を決定するときに Defender for Cloud で適用されるロジックを示したものです。

JIT の利点を得られるマシンが Defender for Cloud で検出されると、そのマシンが推奨事項の [異常なリソース] タブに追加されます。

Just-In-Time (JIT) 仮想マシン (VM) のアクセスに関する推奨事項。

次のステップ

このページでは、Just-In-Time (JIT) 仮想マシン (VM) へのアクセスを使用すべき理由について説明しました。 JIT を有効にして JIT 対応 VM へのアクセスを要求する方法については、次を参照してください。