Just-In-Time アクセスを使用して管理ポートをセキュリティで保護する

Microsoft Defender for Cloud の Just-In-Time (JIT) 仮想マシン (VM) アクセス機能を使用して、Azure Virtual Machines への受信トラフィックをロックダウンします。 これにより、必要に応じて簡単に VM に接続できるようになる一方で、攻撃に晒される危険性は低くなります。

JIT の動作と基になるロジックの詳細については、Just-In-Time の説明に関するページを参照してください。

特権の要件の詳細については、「JIT を構成して使用するために必要なアクセス許可は何ですか?」を参照してください。

このページでは、セキュリティ プログラムに JIT を組み込む方法について説明します。 学習内容は次のとおりです。

  • VM で JIT を有効にする - Defender for Cloud、PowerShell、または REST API を使用して、独自のカスタム オプションで 1 つ以上の VM に対して JIT を有効にすることができます。 または、Azure 仮想マシンから、ハードコーディングされた既定のパラメーターで JIT を有効にすることもできます。 有効にすると、JIT により、ネットワーク セキュリティ グループに規則が作成されて、Azure および AWS VM への受信トラフィックがロックダウンされます。
  • JIT が有効になっている VM へのアクセス権を要求する - JIT の目的は、受信トラフィックがロックダウンされていても、必要に応じて Defender for Cloud で VM に簡単に接続できるようにすることです。 Defender for Cloud、Azure 仮想マシン、PowerShell、または REST API から、JIT が有効な VM へのアクセスを要求できます。
  • アクティビティを監査する - VM が適切にセキュリティで保護されていることを確実にするため、通常のセキュリティ チェックの一環として、JIT 対応の VM へのアクセスを確認します。

可用性

側面 詳細
リリース状態: 一般公開 (GA)
サポートされている VM: Azure Resource Manager を使用してデプロイされた VM。
クラシック デプロイ モデルを使用してデプロイされた VM。 これらのデプロイ モデルの詳細
Azure Firewall Manager によって制御される Azure Firewalls1 によって保護されている VM。
AWS EC2 インスタンス (プレビュー)
必要なロールとアクセス許可: 閲覧者セキュリティ閲覧者ロールは、JIT の状態とパラメーターの両方を表示できます。
JIT で動作するカスタム ロールを作成するには、「JIT を構成して使用するために必要なアクセス許可は何ですか?」を参照してください。
VM への JIT アクセスを要求する必要があり、他の JIT 操作を実行しないユーザーに対して最小特権のロールを作成するには、Defender for Cloud GitHub コミュニティ ページにある Set-JitLeastPrivilegedRole スクリプトを使用します。
クラウド: 商用クラウド
各国 (Azure Government、Azure China 21Vianet)
接続されている AWS アカウント (プレビュー)

1 Azure Firewall によって保護されている VM の場合、JIT は、マシンがファイアウォールと同じ VNET 内にある場合にのみ、マシンを完全に保護します。 VNET ピアリングを使用する VM は完全には保護されません。

JIT VM アクセスを有効にする

Defender for Cloud またはプログラムを使用して、独自のカスタム オプションで、1 つ以上の VM に対して JIT VM アクセスを有効にすることができます。

または、Azure 仮想マシンから、ハードコーディングされた既定のパラメーターで JIT を有効にすることもできます。

これらの各オプションについては、以下の個別のタブで説明します。

Microsoft Defender for Cloud から VM で JIT を有効にする

Microsoft Defender for Cloud で JIT VM アクセスを構成する。

Defender for Cloud では、JIT VM アクセスの有効化と構成を行うことができます。

  1. ワークロード保護ダッシュボードを開き、[高度な保護] 領域から [Just-In-Time VM アクセス] を選びます。

    [Just-In-Time VM アクセス] ページが開き、VM が次のタブにグループ化されます。

    • [構成済み] - Just-In-Time VM アクセスをサポートするように既に構成されている VM。 [構成済み] タブには VM ごとに以下が表示されます。
      • 過去 7 日間に承認された JIT 要求の数
      • 最終アクセス日時
      • 構成されている接続の詳細
      • 最後のユーザー
    • [未構成] - JIT は有効になっていないが、JIT をサポートできる VM。 これらの VM では JIT を有効にすることをお勧めします。
    • [サポート外] - JIT が有効になっておらず、機能をサポートしていない VM。 VM は次の理由によりこのタブに表示される場合があります。
      • ネットワーク セキュリティ グループ (NSG) または Azure ファイアウォールが見つからない - JIT では、NSG が構成されていることか、ファイアウォール構成 (またはその両方) が必要です
      • クラシック VM - Azure Resource Manager を使用してデプロイされた VM は JIT でサポートされますが、"クラシック デプロイ" はサポートされません。 クラシックと Azure Resource Manager のデプロイ モデルの詳細
      • その他 - サブスクリプションまたはリソース グループのセキュリティ ポリシーで JIT ソリューションが無効になっている場合は、VM がこのタブに表示されることがあります。
  2. [未構成] タブで、JIT で保護する VM をマークし、 [VM で JIT を有効にする] を選択します。

    [JIT VM アクセス] ページが開き、Defender for Cloud で保護が推奨されるポートの一覧が表示されます。

    • 22 - SSH
    • 3389 - RDP
    • 5985 - WinRM
    • 5986 - WinRM

    既定の設定をそのまま使用するには、 [保存] を選択します。

  3. JIT オプションをカスタマイズするには:

    • [追加] ボタンを使用してカスタム ポートを追加します。
    • 一覧から既定のポートのいずれかを選択して変更します。

    ポート (カスタムおよび既定) ごとに、 [ポート構成の追加] ペインで次のオプションが提供されます。

    • [プロトコル] - 要求が承認されたときにこのポートで許可されるプロトコル
    • [許可されているソース IP] - 要求が承認されたときにこのポートで許可される IP 範囲
    • [最大要求時間] - 特定のポートを開放しておくことができる最大時間枠
    1. 必要に応じてポートのセキュリティを設定します。

    2. [OK] を選択します。

  4. [保存] を選択します。

Defender for Cloud を使用して JIT 対応 VM で JIT の構成を編集する

VM に対して保護する新しいポートを追加して構成するか、既に保護されているポートに関連する他の設定を変更すると、VM の Just-In-Time の構成を変更できます。

VM の既存の JIT 規則を編集するには:

  1. ワークロード保護ダッシュボードを開き、[高度な保護] 領域から [Just-In-Time VM アクセス] を選びます。

  2. [構成済み] タブで、ポートを追加する VM を右クリックして、[編集] を選択します。

    Microsoft Defender for Cloud で JIT VM アクセス構成を編集する。

  3. [JIT VM アクセス構成] では、既に保護されているポートの既存の設定を編集するか、新しいカスタム ポートを追加できます。

  4. ポートの編集が終わったら、 [保存] を選択します。

JIT が有効な VM へのアクセス権を要求する

Azure portal (Defender for Cloud または Azure 仮想マシン) またはプログラムから、JIT が有効な VM へのアクセスを要求できます。

これらの各オプションについては、以下の個別のタブで説明します。

Microsoft Defender for Cloud から JIT が有効な VM へのアクセスを要求する

VM で JIT が有効になっている場合は、それに接続するためのアクセス権を要求する必要があります。 JIT を有効にした方法に関係なく、サポートされているいずれかの方法でアクセス権を要求できます。

Defender for Cloud から JIT アクセスを要求する。

  1. [Just In Time VM アクセス] ページで、 [構成済み] タブを選択します。

  2. アクセスしたい VM をマークします。

    • [接続の詳細] 列のアイコンによって、ネットワーク セキュリティ グループまたはファイアウォールで JIT が有効になっているかどうかが示されています。 両方で有効になっている場合は、ファイアウォールのアイコンだけが表示されます。

    • [接続の詳細] 列では、VM を接続するために必要な情報と、その開かれているポートが示されます。

  3. [アクセス権の要求] を選択します。 [アクセス権の要求] ウィンドウが開きます。

  4. [アクセス権の要求] では、開放するポート、ポートの開放先のソース IP アドレス、ポートを開放しておく時間枠を VM ごとに構成します。 構成済みのポートへのアクセス権だけを要求することができます。 ポートごとに、作成した JIT 構成から派生した最大許容時間があります。

  5. [Open ports](ポートを開く) を選択します。

注意

アクセスを要求しているユーザーがプロキシの背後にいる場合は、My IP オプションが機能しない場合があります。 組織のすべての IP アドレス範囲を定義する必要がある場合があります。

Defender for Cloud での JIT アクセス アクティビティの監査

ログ検索を使用して VM アクティビティについての情報が得ることができます。 ログを表示するには:

  1. [Just-In-Time VM アクセス] で、 [構成済み] タブを選択します。

  2. 監査対象の VM で、行の最後にある省略記号メニューを開きます。

  3. メニューから [アクティビティ ログ] を選択します。

    Just-In-Time JIT アクティビティ ログの選択。

    アクティビティ ログによって、その VM に対する前回の操作、時刻、日付、サブスクリプションがフィルター処理されて表示されます。

  4. ログ情報をダウンロードするには、 [CSV としてダウンロードする] を選択します。

次の手順

この記事では、Just-In-Time VM アクセスを構成して使用する "方法" について説明しました。 JIT を使用する必要がある "理由" については、防御対象の脅威について説明されている概念記事を参照してください。