Just-In-Time (JIT) VM アクセスについて

  • [アーティクル]

このページでは、Microsoft Defender for Cloud の Just-In-Time (JIT) VM アクセス機能の背後にある原則と、推奨事項の背後にあるロジックについて説明します。

Azure portal (Defender for Cloud または Azure Virtual Machines) またはプログラムを使用して、VM に JIT を適用する方法については、JIT を使用して管理ポートをセキュリティで保護する方法に関する記事をご覧ください。

仮想マシン上の開いている管理ポートのリスク

脅威アクターは、RDP や SSH などの、開いている管理ポートがあるアクセス可能なマシンを積極的に探します。 すべての仮想マシンは、攻撃の対象となる可能性があります。 VM への侵害が成功すると、これは環境内のリソースをさらに攻撃するためのエントリ ポイントとして使用されます。

JIT VM アクセスがソリューションである理由

すべてのサイバーセキュリティ防止技術と同様に、目標は攻撃面を減らすことです。 ここでは、開いているポート (特に管理ポート) を減らすことを意味します。

正当なユーザーもこれらのポートを使用しているため、これらを閉じたままにしておくのは現実的ではありません。

このジレンマを解決するため、Microsoft Defender for Cloud には JIT が用意されています。 JIT により、VM へのインバウンド トラフィックをロックダウンすることができるので、攻撃に対する露出が減り、VM への接続が必要な場合は簡単にアクセスできます。

Azure と AWS のネットワーク リソースで JIT はどのように動作するか

Azure では、Just-In-Time VM アクセスを有効にすることで、特定のポートでの受信トラフィックをブロックできます。 Defender for Cloud により、ネットワーク セキュリティ グループ (NSG) と Azure Firewall 規則で選択したポートに対して "すべての受信トラフィックを拒否" 規則が存在することが保証されます。 これらの規則により、Azure VM の管理ポートへのアクセスが制限され、攻撃から保護されます。

選択したポートに対して他の規則がすでに存在している場合は、既存の規則が新しい "すべての受信トラフィックを拒否" 規則よりも優先されます。 選択したポートに既存の規則がない場合は、NSG と Azure Firewall で新しい規則が優先されます。

AWS では、JIT アクセスを有効にすることにより、選択したポートに対して、アタッチされた EC2 セキュリティ グループで関連規則が取り消されます。これにより、それらの特定のポートでの受信トラフィックがブロックされます。

ユーザーが VM へのアクセス権を要求すると、Defender for Cloud によってそのユーザーが VM に対する Azure ロール ベースのアクセス制御 (Azure RBAC) アクセス許可を持っているかどうかがチェックされます。 要求が承認されると、Defender for Cloud によって、関連する IP アドレス (または範囲) から選択したポートへの受信トラフィックを指定された時間だけ許可するように、NSG および Azure Firewall が構成されます。 AWS では、Defender for Cloud によって、指定したポートへの受信トラフィックを許可する新しい EC2 セキュリティ グループが作成されます。 指定された時間が経過すると、Defender for Cloud により NSG が以前の状態に復元されます。 既に確立されている接続は中断されません。

注意

JIT では、Azure Firewall Manager によって制御される Azure Firewall によって保護されている VM はサポートされません。 Azure Firewall は、ルール (クラシック) を使用して構成する必要があり、ファイアウォール ポリシーを使用することはできません。

JIT を適用する必要がある VM を Defender for Cloud で特定する方法

次の図は、サポートされている VM の分類を決定するときに Defender for Cloud で適用されるロジックを示したものです。

JIT の利点を得られるマシンが Defender for Cloud で検出されると、そのマシンが推奨事項の [異常なリソース] タブに追加されます。

Just-In-Time (JIT) 仮想マシン (VM) のアクセスに関する推奨事項。

FAQ - Just-In-Time 仮想マシン アクセス

JIT を構成して使用するために必要なアクセス許可は何ですか?

JIT は、サブスクリプションで Microsoft Defender for Servers Plan 2 を有効にする必要があります。

閲覧者セキュリティ閲覧者ロールは、JIT の状態とパラメーターの両方を表示できます。

JIT で動作するカスタム ロールを作成する場合は、次の表にある詳細情報が必要となります。

Amazon Web Service (AWS) VM に JIT を設定する場合は、AWS アカウントを Microsoft Defender for Cloud に接続する必要があります。

ヒント

VM への JIT アクセスを要求する必要があり、他の JIT 操作を実行しないユーザーに対して最小特権のロールを作成するには、Defender for Cloud GitHub コミュニティ ページにある Set-JitLeastPrivilegedRole スクリプトを使用します。

ユーザーを有効にする目的: 設定するアクセス許可
VM の JIT ポリシーを構成または編集する これらのアクションをロールに割り当てます。
  • VM に関連付けられているサブスクリプションまたはリソース グループの範囲:
    Microsoft.Security/locations/jitNetworkAccessPolicies/write
  • VM のサブスクリプションまたはリソース グループの範囲:
    Microsoft.Compute/virtualMachines/write
VM への JIT アクセスを要求する これらのアクションをユーザーに割り当てます。
  • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
  • Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Network/networkInterfaces/*/read
  • Microsoft.Network/publicIPAddresses/read
JIT ポリシーの読み取り これらのアクションをユーザーに割り当てます。
  • Microsoft.Security/locations/jitNetworkAccessPolicies/read
  • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
  • Microsoft.Security/policies/read
  • Microsoft.Security/pricings/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Network/*/read

注意

Microsoft.Security のアクセス許可のみが AWS に関連します。

次のステップ

このページでは、Just-In-Time (JIT) 仮想マシン (VM) へのアクセスを使用すべき理由について説明しました。 JIT を有効にして JIT 対応 VM へのアクセスを要求する方法については、次を参照してください。

JIT を使用して管理ポートをセキュリティで保護する方法