Udostępnij za pośrednictwem

Dostęp just in time do maszyny

  • Artykuł

Usługa Defender for Servers Plan 2 w Microsoft Defender dla Chmury zapewnia funkcję dostępu just in time do maszyny.

Aktorzy zagrożeń aktywnie polować na dostępne maszyny za pomocą otwartych portów zarządzania, takich jak RDP lub SSH. Wszystkie maszyny są potencjalnymi celami ataku. Po pomyślnym naruszeniu zabezpieczeń maszyny jest ona używana jako punkt wejścia do ataku na dalsze zasoby w środowisku.

Aby zmniejszyć powierzchnie ataków, potrzebujemy mniejszej liczby otwartych portów, zwłaszcza portów zarządzania. Legalni użytkownicy korzystają również z tych portów, więc nie jest to praktyczne, aby utrzymać je zamknięte.

Aby rozwiązać ten dylemat, Defender dla Chmury oferuje dostęp just in time maszyny, dzięki czemu można zablokować ruch przychodzący do maszyn wirtualnych, zmniejszając narażenie na ataki, zapewniając łatwy dostęp do łączenia się z maszynami wirtualnymi w razie potrzeby. Dostęp just in time jest dostępny, gdy usługa Defender for Servers (plan 2) jest włączona.

Dostęp just in time i zasoby sieciowe

Azure

Na platformie Azure można blokować ruch przychodzący na określonych portach, włączając dostęp just in time.

  • Defender dla Chmury gwarantuje, że istnieją reguły "odmów całego ruchu przychodzącego" dla wybranych portów w regułach sieciowej grupy zabezpieczeń i usługi Azure Firewall.
  • Te reguły ograniczają dostęp do portów zarządzania maszyn wirtualnych platformy Azure i bronią ich przed atakiem.
  • Jeśli dla wybranych portów istnieją już inne reguły, te istniejące reguły mają priorytet nad nowymi regułami "odmów całego ruchu przychodzącego".
  • Jeśli na wybranych portach nie ma żadnych reguł, nowe reguły mają najwyższy priorytet w sieciowej grupie zabezpieczeń i usłudze Azure Firewall.

AWS

W usłudze AWS, włączając dostęp just in time, odpowiednie reguły w dołączonych grupach zabezpieczeń EC2 (dla wybranych portów) są odwoływały, blokując ruch przychodzący na tych określonych portach.

  • Gdy użytkownik żąda dostępu do maszyny wirtualnej, usługa Defender for Servers sprawdza, czy użytkownik ma uprawnienia kontroli dostępu na podstawie ról (RBAC ) platformy Azure dla tej maszyny wirtualnej.
  • Jeśli żądanie zostanie zatwierdzone, Defender dla Chmury skonfiguruje sieciowe grupy zabezpieczeń i usługę Azure Firewall, aby zezwolić na ruch przychodzący do wybranych portów z odpowiedniego adresu IP (lub zakresu) przez określony czas.
  • W usłudze AWS Defender dla Chmury tworzy nową grupę zabezpieczeń EC2, która zezwala na ruch przychodzący do określonych portów.
  • Po upływie czasu Defender dla Chmury przywraca sieciowe grupy zabezpieczeń do ich poprzednich stanów
  • Połączenia, które zostały już nawiązane, nie są przerywane.

Uwaga

  • Dostęp just in time nie obsługuje maszyn wirtualnych chronionych przez usługi Azure Firewalls kontrolowane przez usługę Azure Firewall Manager.
  • Usługa Azure Firewall musi być skonfigurowana przy użyciu reguł (klasycznych) i nie może używać zasad zapory.

Identyfikowanie maszyn wirtualnych na potrzeby dostępu just in time

Na poniższym diagramie przedstawiono logikę, która ma zastosowanie w usłudze Defender for Servers podczas podejmowania decyzji o kategoryzowaniu obsługiwanych maszyn wirtualnych:

Gdy Defender dla Chmury znajdzie maszynę, która może korzystać z dostępu just in time, dodaje ją do karty Zasoby w złej kondycji zalecenia.

Zalecenie dostępu just in time (JIT) do maszyny wirtualnej.

Następne kroki

Włącz dostęp just in time na maszynach wirtualnych.