Just-In-Time 機器存取
適用於伺服器的 Defender 方案 2 適用於雲端的 Microsoft Defender 提供 Just-In-Time 計算機存取功能。
威脅執行者會利用開放管理連接埠 (如 RDP 或 SSH) 主動尋找可存取的機器。 您所有的機器都是攻擊的潛在目標。 當計算機成功遭入侵時,它會當做進入點來攻擊環境中的進一步資源。
為了減少受攻擊面,我們想要較少的開放埠,特別是管理埠。 合法的使用者也會使用這些埠,因此關閉它們並不實用。
為了解決這種困境,適用於雲端的 Defender 提供 Just-In-Time 機器存取,讓您可以鎖定 VM 的輸入流量,減少攻擊的風險,同時在需要時輕鬆存取 VM。 啟用適用於伺服器方案 2 的 Defender 時,即可使用 Just-In-Time 存取。
Just-In-Time 存取和網路資源
Azure
在 Azure 中,您可以啟用 Just-In-Time 存取來封鎖特定埠上的輸入流量。
- 適用於雲端的 Defender 可以確保網路安全性群組 (NSG) 和 Azure 防火牆規則中,有適用於您所選連接埠的「拒絕所有輸入流量」規則存在。
- 這些規則會限制存取 Azure VM 的管理連接埠,防止連接埠遭受攻擊。
- 若所選連接埠已存在其他規則,則這些現有規則的優先順序高於新的「拒絕所有輸入流量」規則。
- 如果沒有關於所選連接埠的現存規則,則新規則在 NSG 和 Azure 防火牆中有最高優先順序。
AWS
在 AWS 中,藉由啟用 Just-In-Time 存取,會撤銷附加 EC2 安全組(針對所選埠)中的相關規則,封鎖這些特定埠上的輸入流量。
- 當使用者要求存取 VM 時,適用於伺服器的 Defender 會檢查使用者是否有 該 VM 的 Azure 角色型存取控制 (Azure RBAC) 許可權。
- 如果要求經過核准,適用於雲端的 Defender 即會設定 NSG 和 Azure 防火牆,以允許指定時間從相關 IP 位址 (或範圍) 至所選連接埠的輸入流量。
- 在 AWS 中,適用於雲端的 Defender 建立一個新的 EC2 安全性群組,允許入口流量到達指定連接埠。
- 時間過期之後,適用於雲端的 Defender 將 NSG 還原至先前的狀態
- 已經建立的連線則不會中斷。
注意
- Just-In-Time 存取不支援受 Azure 防火牆 Manager 所控制之 Azure 防火牆 保護的 VM。
- Azure 防火牆 必須設定規則(傳統版),且無法使用防火牆原則。
識別 VM 以進行 Just-In-Time 存取
下圖顯示適用於伺服器的 Defender 在決定如何分類支援的 VM 時適用的邏輯:
當 適用於雲端的 Defender 找到可從 Just-In-Time 存取中獲益的計算機時,會將該電腦新增至建議的 [狀況不良資源] 索引卷標。
下一步
在 VM 上啟用 Just-In-Time 存取。