Förstå VM-åtkomst med just-in-time (JIT)

På den här sidan förklaras principerna bakom Microsoft Defender för molnets just-in-time-åtkomstfunktion (JIT) och logiken bakom rekommendationen.

Information om hur du tillämpar JIT på dina virtuella datorer med hjälp av Azure Portal (antingen Defender för molnet eller Azure Virtual Machines) eller programmatiskt finns i Så här skyddar du dina hanteringsportar med JIT.

Risken för öppna hanteringsportar på en virtuell dator

Hotaktörer jagar aktivt tillgängliga datorer med öppna hanteringsportar, till exempel RDP eller SSH. Alla dina virtuella datorer är potentiella mål för en attack. När en virtuell dator har komprometterats används den som startpunkt för att attackera ytterligare resurser i din miljö.

Varför JIT VM-åtkomst är lösningen

Precis som med alla tekniker för cybersäkerhetsskydd bör målet vara att minska attackytan. I det här fallet innebär det att ha färre öppna portar, särskilt hanteringsportar.

Dina legitima användare använder också dessa portar, så det är inte praktiskt att hålla dem stängda.

För att lösa det här dilemmat erbjuder Microsoft Defender for Cloud JIT. Med JIT kan du låsa den inkommande trafiken till dina virtuella datorer, vilket minskar exponeringen för attacker samtidigt som du enkelt kan ansluta till virtuella datorer vid behov.

Så här fungerar JIT med nätverksresurser i Azure och AWS

I Azure kan du blockera inkommande trafik på specifika portar genom att aktivera just-in-time-åtkomst till virtuella datorer. Defender för molnet säkerställer att "neka all inkommande trafik" finns för dina valda portar i nätverkssäkerhetsgruppen (NSG) och Azure Firewall regler. De här reglerna begränsar åtkomsten till dina virtuella Azure-datorers hanteringsportar och skyddar dem mot angrepp.

Om det redan finns andra regler för de valda portarna prioriteras de befintliga reglerna framför de nya reglerna "neka all inkommande trafik". Om det inte finns några befintliga regler på de valda portarna har de nya reglerna högsta prioritet i NSG och Azure Firewall.

Genom att aktivera JIT-åtkomst i AWS återkallas de relevanta reglerna i de anslutna EC2-säkerhetsgrupperna för de valda portarna, vilket blockerar inkommande trafik på dessa specifika portar.

När en användare begär åtkomst till en virtuell dator kontrollerar Defender för molnet att användaren har behörigheter för rollbaserad åtkomstkontroll i Azure (Azure RBAC) för den virtuella datorn. Om begäran godkänns konfigurerar Defender för molnet NSG:erna och Azure Firewall att tillåta inkommande trafik till de valda portarna från relevant IP-adress (eller intervall) under den tid som har angetts. I AWS skapar Defender för molnet en ny EC2-säkerhetsgrupp som tillåter inkommande trafik till de angivna portarna. När tiden har gått ut återställer Defender för molnet NSG:erna till sina tidigare tillstånd. Anslutningar som redan har upprättats avbryts inte.

Anteckning

JIT stöder inte virtuella datorer som skyddas av Azure Firewalls som styrs av Azure Firewall Manager. Azure Firewall måste konfigureras med Regler (klassisk) och kan inte använda brandväggsprinciper.

Så här identifierar Defender för molnet vilka virtuella datorer som ska ha JIT tillämpat

Diagrammet nedan visar logiken som Defender för molnet använder när du bestämmer hur du ska kategorisera dina virtuella datorer som stöds:

När Defender för molnet hittar en dator som kan dra nytta av JIT lägger den datorn till på rekommendationens fliken Ej felfria resurser .

Rekommendation om just-in-time-åtkomst (JIT) för virtuell dator (VM).

Vanliga frågor och svar – just-in-time-åtkomst till virtuell dator

Vilka behörigheter krävs för att konfigurera och använda JIT?

JIT Kräver Microsoft Defender för att serverplan 2 ska aktiveras för prenumerationen.

Rollerna Läsare och SecurityReader kan både visa JIT-status och parametrar.

Om du vill skapa anpassade roller som kan fungera med JIT behöver du informationen i tabellen nedan.

Om du konfigurerar JIT på din virtuella Amazon Web Service-dator (AWS) måste du ansluta ditt AWS-konto till Microsoft Defender för molnet.

Tips

Om du vill skapa en minst privilegierad roll för användare som behöver begära JIT-åtkomst till en virtuell dator och inte utföra några andra JIT-åtgärder använder du skriptet Set-JitLeastPrivilegedRole från Defender for Cloud GitHub-communitysidorna.

Så här gör du så här för att göra så här för en användare att: Behörigheter att ange
Konfigurera eller redigera en JIT-princip för en virtuell dator Tilldela dessa åtgärder till rollen:
  • I omfånget för en prenumeration eller resursgrupp som är associerad med den virtuella datorn:
    Microsoft.Security/locations/jitNetworkAccessPolicies/write
  • Omfånget för en prenumeration eller resursgrupp med virtuell dator:
    Microsoft.Compute/virtualMachines/write
Begär JIT-åtkomst till en virtuell dator Tilldela dessa åtgärder till användaren:
  • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
  • Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Network/networkInterfaces/*/read
  • Microsoft.Network/publicIPAddresses/read
Läs JIT-principer Tilldela dessa åtgärder till användaren:
  • Microsoft.Security/locations/jitNetworkAccessPolicies/read
  • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
  • Microsoft.Security/policies/read
  • Microsoft.Security/pricings/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Network/*/read

Anteckning

Endast behörigheterna Microsoft.Security är relevanta för AWS.

Nästa steg

På den här sidan förklaras varför just-in-time-åtkomst (JIT) för virtuella datorer (VM) ska användas. Mer information om hur du aktiverar JIT och begär åtkomst till dina JIT-aktiverade virtuella datorer finns i följande: