你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
即时计算机访问
Microsoft Defender for Cloud 中的 Defender for Servers 计划 2 提供实时计算机访问功能。
威胁参与者会主动搜寻带有开放管理端口(如 RDP 或 SSH)的可访问计算机。 你的所有计算机都是潜在的攻击目标。 计算机在被成功入侵后将会用作进一步攻击环境中资源的入口点。
为了减少攻击面,我们希望减少开放端口,尤其是管理端口。 合法用户也使用这些端口,因此将其保持关闭状态是不切实际的。
为了解决这一难题,Defender for Cloud 提供了即时计算机访问,以便你可以锁定发往 VM 的入站流量,降低遭受攻击的可能性,同时在需要时还允许轻松连接到 VM。 启用 Defender for Servers 计划 2 时,即时计算机访问才可用。
即时访问和网络资源
Azure
在 Azure 中,可以通过启用即时访问来阻止特定端口上的入站流量。
- Defender for Cloud 确保针对网络安全组 (NSG) 和 Azure 防火墙规则中的所选端口存在“拒绝所有入站流量”规则。
- 这些规则限制对 Azure VM 管理端口的访问,并防止其受到攻击。
- 如果存在针对所选端口的其他规则,则现有规则的优先级高于新的“拒绝所有入站流量”规则。
- 如果所选端口没有现有的规则,则新规则在 NSG 和 Azure 防火墙中的优先级最高。
AWS
在 AWS 中,启用即时访问后,附加的 EC2 安全组中针对选定端口的相关规则会被撤销,从而阻止这些特定端口上的入站流量。
- 当用户请求访问 VM 时,Defender for Servers 会检查该用户是否具有该 VM 的 Azure 基于角色的访问控制 (Azure RBAC) 权限。
- 如果请求获得批准,Defender for Cloud 将配置 NSG 和 Azure 防火墙,以便在指定的时间内允许来自相关 IP 地址(或范围)的入站流量到达所选端口。
- 在 AWS 中,Defender for Cloud 会创建一个新的 EC2 安全组,允许入站流量发送到指定端口。
- 在该时间到期后,Defender for Cloud 会将 NSG 还原为以前的状态。
- 已经建立的连接不会被中断。
注意
- 即时访问不支持由 Azure 防火墙管理器控制的 Azure 防火墙保护的 VM。
- Azure 防火墙必须配置规则(经典),并且不能使用防火墙策略。
识别用于即时访问的 VM
下图展示了 Defender for Servers 在决定如何分类支持的 VM 时应用的逻辑:
当 Defender for Cloud 发现可以从即时访问获益的计算机时,它会将该计算机添加到建议的“运行不正常的资源”选项卡中。
